(PD) Publicaciones - Octave S PDF

www.piramidedigital.
com
www.elmayorportaldegerencia.com
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA PIRMIDE DIGITAL

CIA. LTDA
RESUMEN EJECUTIVO
Esta Tesis tiene como Objetivo General aplicar la norma Octave-S en la empresa Pirmide
Digital para realizar una evaluacin del manejo de riesgos en seguridad informtica.
El Captulo Uno sirve como marco terico en donde se menciona y explican conceptos
generales sobre anlisis de riesgos, anlisis de seguridades y cmo el enfoque OCTAVE
utiliza una valoracin de evaluacin de riesgos basada en los activos a ms de un cuadro
comparativo entre OCTAVE-S, ISO 1779 y COBIT 4.1 y se justifica con esta tabla por qu
se seleccion a OCTAVE-S para realizar el anlisis de riesgos en la empresa.
En el Captulo Dos se justifica el uso de COBIT 4.1 para evaluar la situacin actual de la
empresa en base al cuadro comparativo presentado en el Captulo Uno, se describe la
caracterizacin de la empresa y a travs de matrices de madurez se evalan los cuatro
dominios que propone COBIT 4.1: planeacin y organizacin, adquisicin e implementacin,
entrega y soporte y monitoreo y evaluacin; para esto se escogieron once procesos:
PO1: Definir el plan estratgico de TI
PO3: Determinar la direccin tecnolgica
PO4: Definir procesos, organizacin y relaciones de TI
PO9: Evaluar y administrar riesgos de TI
AI5: Instalar y acreditar sistemas
AI6: Administrar cambios
DS1: Definir y administrar niveles de servicio
DS5: Garantizar la seguridad de los sistemas
DS10: Administrar los datos
ME1: Monitorear el desempeo de TI
ME2: Monitorear y evaluar el control interno
En el Captulo Tres se aplica la norma OCTAVE-S antes de iniciar la evaluacin, se

describen los roles, responsabilidades y habilidades del equipo de trabajo, se indica el perfil
de los altos directivos, directivos de reas operativas y del personal en general para que se
pueda seleccionar al equipo de trabajo que colaborar en la evaluacin.
Oficina Centro de
Matriz: Av. 12 de Octubre y Cordero. Capacitacin Juan Pascoe y Myriam de Sevilla. Campos Verdes.
Ed World Trade Center, Torre B, Oficina 702 Gerencial: Cuendina. Pichincha, Ecuador.
Tel. +(593)2 255 66 22, 255 66 23 Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 255 98 88 Cel (593)991 699699 Fax +(593)2 2875771 Cel (593)99 9922000
Quito Ecuador Sangolqu Ecuador
Skype:PiramideDigital Skype:pdccgec
www.piramidedigital.com
Una vez que se seleccion al equipo de trabajo, se inici la evaluacin utilizando la

metodologa que propone OCTAVE-S la cual se divide en tres fases; en la Fase Uno se
construye un perfil de amenaza basado en los activos de la empresa, esta fase cuenta con los
siguientes procesos: identificar la informacin organizacional y crear perfiles de amenazas,
para los que se desarrollan las siguientes actividades: establecer el impacto de los criterios de
la evaluacin, identificar activos organizaciones, evaluar practicas organizacionales,
seleccionar activos crticos, identificar requerimientos de seguridad e identificar amenazas a
los activos crticos.
La Fase Dos sirve para identificar vulnerabilidades de la infraestructura y cuenta con un solo
proceso en el que se examina la infraestructura computacional en relacin a los activos
crticos para lo que se definen las siguientes actividades: examinar rutas de acceso y analizar
los procesos relacionados con tecnologa.
Finalmente, en la Fase Tres se desarrollan planes y estrategias de seguridad a travs de los
siguientes procesos: identificar y analizar los riesgos y desarrollar estrategias y planes de
mitigacin para lo que se cuenta con las siguientes actividades: evaluar el impacto de las
amenazas, establecer criterios basados en la frecuencia, evaluar probabilidades de amenaza,
describir la estrategia de proteccin actual, desarrollar un plan de mitigacin, identificar
cambios a la estrategia de proteccin e identificar siguientes pasos.
En el Captulo Cuatro, se presenta un informe preliminar y un informe ejecutivo dirigidos y
validados por el Gerente General de la empresa Pirmide Digital Ca. Ltda.
Finalmente en el Captulo Cinco se presentan las conclusiones y recomendaciones a las que
se han llegado una vez concluido el proyecto de titulacin realizado.
Oficina Centro de
Matriz: Av. 12 de Octubre y Cordero. Capacitacin Juan Pascoe y Myriam de Sevilla. Campos Verdes.
Ed World Trade Center, Torre B, Oficina 702 Gerencial: Cuendina. Pichincha, Ecuador.
Tel. +(593)2 255 66 22, 255 66 23 Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 255 98 88 Cel (593)991 699699 Fax +(593)2 2875771 Cel (593)99 9922000
Quito Ecuador Sangolqu Ecuador
Skype:PiramideDigital Skype:pdccgec
El mayor portal de Gerencia en espaol
CAPITULO UNO
1.1 Anlisis de Riesgos
Los diferentes casos relacionados con la necesidad de mejorar la seguridad de la informacin de las
empresas aumentan diariamente; las amenazas siempre han existido, la nica diferencia es que
actualmente, estas amenazas son mucho ms difciles de detectar y mucho, ms rpidas. Por estas
razones, las empresas deben estar siempre en alerta y conocer qu sistemas de seguridad puede
implementar, realizando previamente un anlisis de riesgos que permita evitar o minimizar las
consecuencias no deseadas y no esperadas. Es importante tener en cuenta que previamente a
implementar un sistema de seguridad, se debe conocer de forma detallada el entorno de los procesos
de negocio de la organizacin, lo que permitir priorizar las acciones de seguridad que se deben
aplicar a los procesos clave del negocio, los ms crticos y los que estn vinculados a cumplir los
objetivos de la organizacin.
El anlisis permite rastrear las distintas amenazas que pueden afectar a activos vulnerables y permite
que se generen recomendaciones las que hacen ms sencilla la correccin de los activos y qu se
debe hacer para protegerlos, este anlisis tiene como fin detectar los riesgos de los cuales los activos
pueden ser vctimas y que probabilidad de ocurrencia existe. Toda amenaza se puede convertir en
realidad, es por ello que el momento que se la detecte debe ser eliminada al mximo para que el
ambiente que se busaca proteger se encuentre libre de riesgos de incidentes de seguridad.
El anlisis de riesgos, se define como:

Una actividad centrada en la identificacin de fallas de seguridad que evidencien vulnerabilidades que pueden
ser explotadas por amenazas, provocando impactos en los negocios de la organizacin: es una actividad de
anlisis que pretende, a travs del rastreo, identificar los riesgos a los cuales los activos se encuentran
expuestos. 1
Adems, es una actividad que busca encontrar la consolidacin de las vulnerabilidades que permitan
identificar los pasos que se deben seguir para su correccin, identificar las amenazas que pueden
explotar las vulnerabilidades para corregirlas o eliminarlas, identificar los impactos potenciales que
pudieran tener los incidentes, aprovechar las vulnerabilidades encontradas y determinar las
recomendaciones para que las amenazas sean corregidas o reducidas.
El anlisis de riesgos como el primer elemento de la accin de seguridad, es un factor determinante
para los distintos procesos crticos en los que se analizan todas las amenazas de las que pueden ser
vctimas. De esta manera, son considerados y analizados todos los activos de la organizacin, para
que estn libres de vulnerabilidades, con el propsito de reducir los riesgos.
Un anlisis de riesgos tradicional se construye por medio de un conjunto de actividades
preestablecidas que tiene como objetivo: identificar el proceso a considerar, saber cules son sus
elementos o partes constituyente y cules son los equipos necesarios para efectuarlo. 2
El primer paso para realizar un anlisis de riesgos es identificar la relevancia de cada uno de los
procesos de la empresa, para priorizar las acciones de seguridad e iniciar el trabajo de
implementacin de seguridad en las reas estratgicas que puedan generar un mayor impacto en la
organizacin, si se llegara a presentar un incidente.
1
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188-
tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
2
Oficinas Corporativas Centro de Capacitacin Gerencial

Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702 Juan Pascoe No.36 y Myriam de Sevilla. Campos Verdes.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88, Tel/Fax + (593) 2339744 , 2080300
Celular: (593-9) 1699699 Celular: (593)99 922000
Quito Ecuador Cuendina, Pichincha. Ecuador.
El segundo paso, es determinar la relevancia de los activos determinantes para el proceso del
negocio, lo cual marca un rumbo definitivo de las acciones de seguridad en la empresa, se debe
asegurar que los activos cumplan con su propsito, en cuanto a la seguridad de la informacin y
garantizar su confidencialidad, integridad y disponibilidad.
El anlisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar
normas de seguridad para que puedan cumplir los siguientes propsitos:
Identificar los puntos dbiles, para que sean corregidos y as disminuir las vulnerabilidades presentes en
los activos de los procesos de negocios.
Conocer los elementos constituyentes de la infraestructura de comunicacin, procesamiento y
almacenamiento de la informacin, para dimensionar dnde sern hechos los anlisis y cules elementos
sern considerados.
Conocer el contenido de la informacin manipulada por los activos, con base en los principios de la
confidencialidad, integridad y disponibilidad.
Dirigir acciones para incrementar los factores tecnolgicos y humanos en las reas crticas y
desprotegidas.
Permitir una gestin peridica de seguridad, con el objetivo de identificar nuevas amenazas y
vulnerabilidades, adems de la verificacin de la eficacia de las recomendaciones provistas 3
El enfoque Octave define al anlisis de riesgos como:

Un anlisis efectivo que considera tanto los aspectos organizativos y tecnolgicos, examinando cmo la gente
usa la infraestructura informtica de su organizacin en una base diaria. La evaluacin es de vital importancia
para cualquier iniciativa de mejora de la seguridad, ya que genera una vista de toda la organizacin de los
riesgos de seguridad de la informacin, proporcionando una base para la mejora. 4
Hay muchas normas, prcticas y mtodos disponibles para hacer frente a los riesgos de seguridad de
la informacin. Seleccionar la opcin correcta de una organizacin, depende de leyes y reglamentos,
las metas, los objetivos organizacionales, las prcticas de gestin y las polticas de la organizacin
que definen los parmetros, dentro de los cuales, el riesgo de la seguridad del proceso de gestin
debe respetar.
Hay muchas metodologas que se ocupan de las partes individuales de las necesidades de una
organizacin de gestin de riesgos. Las organizaciones pueden mirar lo que otros dentro de su
dominio han utilizado como opciones viables, centrndose en las leyes y reglamentos. Las
organizaciones pueden tener el mandato de aplicar las normas especficas para lograr el
cumplimiento normativo. Adems, el tamao de la organizacin y los recursos financieros ayudarn
a determinar las opciones apropiadas.
Por ejemplo, la adopcin de una norma general de diligencia debida, como la Organizacin
Internacional de Normalizacin (ISO) 17799, puede ser prohibitivamente costoso y no garantiza que
3
4
Alberts, Christopher. Introduction to the Octave approach. Internet. www.itgovernanceusa.com/files/ Octave.pdf
Acceso: (10 de enero de 2013)

Celular: (593-9) 1699699 Celular: (593)99 922000
los problemas de seguridad de una organizacin especfica sean abordados5. Cada organizacin
debe entender el riesgo y el plan de proteccin adecuado.
Un riesgo comprende un evento, la incertidumbre y una consecuencia. El evento bsico en el que
estamos interesados es una amenaza. La incertidumbre se manifiesta en gran parte de la informacin
que se ha recopilado durante la evaluacin.
La incertidumbre se refiere a si existe una amenaza a desarrollar, as como si la organizacin est
suficientemente protegida contra el factor amenaza, en muchas metodologas de riesgo, la
incertidumbre se representa con probabilidad de ocurrencia.
Para hacer frente a la incertidumbre inherente a los riesgos, se propone una tcnica de anlisis sobre
la base de la planificacin de escenarios.
Por ltimo, la consecuencia que en definitiva importa en el riesgo de seguridad de la informacin, es
el impacto resultante en la organizacin debido a una amenaza. El impacto describe cmo la
organizacin podra verse afectada segn los resultados de las siguientes amenazas:
Revelacin de un activo crtico
Modificacin de un activo crtico
Prdida / destruccin de un activo crtico
Interrupcin de un activo crtico 6
Los resultados mencionados anteriormente estn directamente relacionados con los activos y
describen el efecto de la amenaza sobre un activo.
El enfoque OCTAVE utiliza una valoracin de evaluacin de riesgos basada en los activos. El riesgo
de seguridad debe ser considerado cuidadosamente sobre la base de las vulnerabilidades
organizacionales y tecnolgicas que ponen en peligro a un grupo de activos. Al tener en cuenta ms
que slo las vulnerabilidades tecnolgicas que un conjunto de herramientas de hardware puede
identificar una organizacin e infraestructura de software, el enfoque OCTAVE aborda las siguientes
preguntas:
Qu activos requieren proteccin?
Qu nivel de proteccin se necesita?
Cmo podra estar en peligro un bien?
Cul es el impacto si la proteccin falla?7
Un enfoque completo de evaluacin del riesgo cuenta con las siguientes caractersticas:
Incorpora activos, amenazas y vulnerabilidades
Permite a las personas encargadas de tomar decisiones establecer prioridades sobre la base de lo que es
importante para la organizacin
Incorpora las cuestiones de organizacin relacionadas con cmo la gente usa la infraestructura de
computacin para satisfacer los objetivos de negocio de la organizacin?
Incorpora aspectos tecnolgicos relacionados con la configuracin de la infraestructura informtica
5
Woody, Carol, PhD. Applying Octave: Practitioners report. CMU/SEI-2006-TN-010,(Mayo 2006) Pittsburg PA, 2006
6
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 123-127
7
Dorofee, Audrey. Asset-Based information security risk assessments, Cutter Consortium, Enterprise Risk Management
and Governance Executive Report. Vol. 2, No. 6. (Marzo 2009 )Arlington MA, 2009

Celular: (593-9) 1699699 Celular: (593)99 922000
Se debe utilizar un mtodo flexible que puede ser usado especficamente en funcin de cada
organizacin8
Mediante el uso de un enfoque equilibrado que combina consideraciones tecnolgicas con otras
organizaciones, a travs de un segmento razonable de la organizacin, la cual debe ser capaz de
evitar sobreproteger algunas reas mientras que baje el nivel de proteccin de los dems.
La figura 1 proporciona una representacin humorstica pero frecuentemente cierta de la gestin de
seguridad de la informacin en una organizacin que slo considera una parte de los riesgos de
seguridad que pueden afectar a su organizacin.
Figura 1: Administracin de riesgos de seguridad no balanceado
Realizado por: Bieber, David. The critical success factor method. Internet.
www.cert.org/archive/pdf/04tr010.pdf Acceso (24 de enero de 2013)
Actualmente, los riesgos informticos deben ser considerados dentro del contexto del negocio y dado
que cada organizacin tiene una misin, se debe considerar en ella, la administracin del riesgo
informtico, pues juega un rol crtico y fundamental que contribuye y sustenta el cumplimiento de
las metas institucionales.
1.2 Anlisis de Seguridades

Desde el surgimiento de la raza humana en el planeta, la informacin estuvo presente bajo diversas
formas y tcnicas. El hombre buscaba representar sus hbitos, costumbres e intenciones, mediante
8
Professional, 2002, 118

Celular: (593-9) 1699699 Celular: (593)99 922000
diversos medios que pudiesen ser utilizados por l y por otras personas, adems de la posibilidad de
ser llevados de un lugar a otro. La informacin valiosa era registrada en objetos preciosos y
sofisticados, que se almacenaban con mucho cuidado en locales de difcil acceso, a cuya forma y
contenido solo tenan acceso quienes estuviesen autorizados o listos para interpretarla.
Actualmente, la informacin es el objeto de mayor valor para las empresas, con el avance y progreso
de la informtica y las redes de comunicacin se presenta un nuevo escenario, donde los objetos del
mundo real se representan por bits y bytes, que ocupan lugar en otra dimensin y poseen formas
diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.9
Por esto y otros motivos, la seguridad de la informacin es un asunto tan importante para todos, pues
afecta directamente a los negocios de una empresa. La seguridad de la informacin tiene como
propsito proteger la informacin registrada, independientemente del lugar en que se localice.
Seguridad de la informacin es mucho ms que la instalacin de un firewall, la aplicacin de parches para
reparar las vulnerabilidades recientemente descubiertas en el software del sistema o cerrar con seguro la caja
con sus cintas de copia de seguridad. Seguridad de la informacin es determinar lo que hay que proteger y por
qu, lo que necesita ser protegido de, y cmo proceder durante el tiempo que exista una amenaza. 10
El propsito de un anlisis de seguridad es el proteger los elementos que forman parte de la
comunicacin, por lo que es necesario identificar los elementos un anlisis de seguridad debe
proteger:
La informacin
Los equipos que la soportan
Las personas que la utilizan11
El anlisis de seguridad tiene como objetivo: proteger a los activos de una empresa con base en la
preservacin de tres principios bsicos:
Integridad: garantiza que la informacin no haya sido alterada en su contenido y que por lo tanto,
sea ntegra. Una informacin es ntegra, cuando no ha sido alterada de forma indebida o no
autorizada. Cuando ocurre una alteracin no autorizada de la informacin en un documento, quiere
decir que el documento ha perdido su integridad, la integridad de la informacin es fundamental para
el xito de la comunicacin.
Buscar la integridad es asegurarse que slo las personas autorizadas puedan hacer alteraciones en la
forma y contenido de una informacin, as como en el ambiente en el cual, es almacenada y por el
cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario
que todos los elementos que componen la base de gestin de la informacin se mantengan en sus
condiciones originales definidas por sus responsables y propietarios. En resumen, garantizar la
integridad es uno de los principales objetivos para la seguridad de la informacin, de un individuo o
de una empresa.
9
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.
www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/ Acceso:
(20 de enero de 2013)
10
Professional, 2002, 5
11
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.
www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/ Acceso:
(20 de enero de 2013)

Celular: (593-9) 1699699 Celular: (593)99 922000
Confidencialidad: el principio de la confidencialidad de la informacin tiene como propsito

asegurar que exclusivamente la persona correcta, acceda a la informacin que queremos distribuir.
La informacin que se intercambia entre individuos y empresas, no siempre deber ser conocida por
todo el mundo. Mucha de la informacin generada por las personas se destina a un grupo especfico
de individuos y muchas veces, a una nica persona. Eso significa que estos datos debern ser
conocidos solo por un grupo controlado de personas, definido por el responsable de la informacin.
La prdida de confidencialidad, implica prdida de secreto, si una informacin es confidencial, es
secreta, se deber guardar con seguridad y no deber ser divulgada para personas no autorizadas.
Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las
tareas ms difciles de implementar, pues involucra a todos los elementos que forman parte de la
comunicacin de la informacin, desde su emisor, el camino que ella recorre, hasta su receptor. Se
deber considerar a la confidencialidad, con base en el valor que la informacin tiene para la
empresa o la persona y los impactos que podra causar su divulgacin indebida. Siendo as, debe ser
accedida, leda y alterada solo por aquellos individuos que poseen permisos para ejecutar tales
acciones. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues
no todas las informaciones sensibles de la empresa son confidenciales. Pero para poder garantizar lo
anterior, solo la confidencialidad de las informaciones no es suficiente, es importante que adems de
ser confidenciales, las informaciones tambin deben ser ntegras. Por lo tanto, se debe mantener la
integridad de una informacin, segn el principio bsico de la seguridad de la informacin.
Disponibilidad de la informacin: una vez que est asegurado que la informacin correcta llegue a
los destinatarios o usuarios correctos, se debe garantizar que llegue en el momento oportuno. Para
que una informacin se pueda utilizar, deber estar disponible, esto se refiere a la disponibilidad de
la informacin y de toda la estructura fsica y tecnolgica que permite el acceso, trnsito y
almacenamiento. La disponibilidad de la informacin permite que: se utilice cuando sea necesario,
que est al alcance de sus usuarios y destinatarios y que se pueda acceder en el momento en que
necesitan utilizarla.
Este principio est asociado a la adecuada estructuracin de un ambiente tecnolgico y humano que
permita la continuidad de los negocios de la empresa o de las personas, sin impactos negativos para
la utilizacin de las informaciones. No es suficiente que est disponible: la informacin deber estar
accesible, en forma segura para que se pueda usar en el momento en que se solicita y que se
garantice su integridad y confidencialidad.
Para que se pueda garantizar la disponibilidad de la informacin, es necesario conocer cules son sus
usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las
formas de colocacin en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea
necesario. La disponibilidad de la informacin se deber considerar con base en el valor que tiene la
informacin y en el impacto resultante de su falta de disponibilidad.
Mucha gente parece estar buscando una solucin mgica cuando se trata de seguridad de la
informacin. Muchas veces se espera que la compra de una herramienta o pieza de tecnologa pueda
resolver los problemas de la empresa. Pocas organizaciones se detienen a evaluar lo que realmente
estn tratando de proteger (y por qu) desde una perspectiva organizacional, antes de seleccionar
soluciones.
Los problemas de seguridad tienden a ser complejos y rara vez se resuelven simplemente mediante
la aplicacin de una pieza de tecnologa.
La mayora de los problemas de seguridad estn firmemente arraigados en uno o ms aspectos organizativos y
de negocio. Antes de implementar soluciones de seguridad, se debe considerar la caracterizacin de la

Celular: (593-9) 1699699 Celular: (593)99 922000
verdadera naturaleza de los problemas de fondo mediante la evaluacin de sus necesidades de seguridad y
riesgos en el contexto de su negocio.12
Teniendo en cuenta las variedades y las limitaciones de los mtodos actuales de evaluacin de la
seguridad, es fcil confundirse cuando se trata de seleccionar un mtodo apropiado para la
evaluacin de riesgos de seguridad de la informacin.
La mayora de los mtodos actuales son bottom-up - que empiezan con la infraestructura
informtica y centrarse en las vulnerabilidades tecnolgicas, sin tener en cuenta los riesgos para la
misin de la organizacin y los objetivos de negocio.13
Una mejor alternativa es comenzar con la propia organizacin y determinar lo que hay que proteger,
por lo que est en riesgo y desarrollar soluciones que garanticen su disponibilidad.
Una evaluacin cuidadosa de las necesidades de seguridad y riesgos en este contexto ms amplio,
debe preceder a cualquier implementacin de seguridad para asegurarse de que todos los problemas
pertinentes, subyacentes son primero descubiertos.
El enfoque OCTAVE para las evaluaciones de seguridad auto-dirigidos fue desarrollado en el Centro
de Coordinacin CERT. Este enfoque est diseado para:
Identificar y clasificar los activos de informacin clave
Pese a las amenazas de esos activos, analizar las vulnerabilidades que implican la tecnologa y las
prcticas14
OCTAVE permite a cualquier organizacin desarrollar las prioridades de seguridad basada en las
preocupaciones de la organizacin de negocios particulares. Este enfoque proporciona un marco
coherente para alinear las acciones de seguridad con los objetivos generales.
El primer paso en el ciclo de seguridad de la informacin, es identificar las distintas amenazas de las
que pueden ser vctimas las empresas, poder identificar estas amenazas, permite que se conozca los
puntos dbiles de los activos de la organizacin.
Esta exposicin lleva a la prdida de uno o ms principios bsicos de la seguridad de la informacin,
causando impactos en el negocio de la empresa, aumentando aun ms los riesgos a los que est expuesta la
informacin. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos dbiles. 15
Figura 2: Ciclo de seguridad de la informacin
12
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25 de enero
de 2013)
13
de 2013)
14
de 2013)
15
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013

Celular: (593-9) 1699699 Celular: (593)99 922000
Realizado por: Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
Internet. www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Los distintos problemas en la seguridad de la empresa aumentan en la medida que las amenazas
pueden explotar las vulnerabilidades y por tanto, causar dao en los activos. Estos daos pueden
causar que la confidencialidad, integridad o disponibilidad de la informacin se pierda, causando
impactos en el negocio de la empresa.
Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de
mucho menor impacto para los activos y la empresa.
El propsito de un anlisis de seguridad es:
Proteger a los activos contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro su integridad.
Garantizar la disponibilidad de la informacin. 16
1.3 Justificacin del uso de la Norma

A continuacin se presenta un cuadro comparativo entre Octave-S, ISO 17799 y Cobit versin 4.1:
Tabla 1: Anlisis comparativo entre la norma Octave-S, norma ISO 17799 y Cobit 4.1
Octave S ISO 17799 COBIT

Operationally Critical Sistema de Gestin de Control Objectives for
Threats, Assets and Seguridad de la Information and Related
Vulnerability Evaluation 17 Informacin18 Technologies 19
Es una aproximacin al Es una norma internacional Es un conjunto de mejores
manejo de riesgos en que ofrece recomendaciones prcticas para el manejo de
seguridad informtica. para realizar la gestin de la informacin, mediante la
Es una suite de herramientas, seguridad de la informacin investigacin, el desarrollo y
16
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
17
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 5-28
18
Guayaquil, Nidia. Estndar ISO 1779 y Norma ISO 27001,2, (21 de septiembre de 2007), Quito, 2007: 3-31
19
Mc Leod, Joel. Octave Method. Internet. www.cert.org/octave Acceso: 17 de diciembre de 2013

Celular: (593-9) 1699699 Celular: (593)99 922000
tcnicas y mtodos de dirigida a los responsables de

promover y hacer pblico un
evaluacin que sirven de gua iniciar, implantar o mantener
marco de control de gobierno de
en la planificacin estratgica la seguridad de una
TI autorizado, actualizado,
basada en el riesgo y la organizacin.
aceptado internacionalmente
seguridad de la informacin. Define la informacin como
para la adopcin por parte de las
Los aspectos organizativos, un activo que posee valor para
empresas y el uso diario por
tecnolgicos y el anlisis de la organizacin y requiere una
parte de los Gerentes de negocio
riesgos de seguridad de proteccin adecuada.
y profesionales de TI, permite el
informacin se Es un acercamiento
desarrollo de polticas claras y
complementan, lo que permite sistemtico para manejar la
de buenas prcticas para el
al personal de la organizacin informacin y la propiedad
control de TI por parte de la
tener una imagen completa de confidencial de una compaa
empresa. Las buenas prcticas
las necesidades de seguridad para mantenerlas seguras.
centradas en el marco de
de la informacin en la Abarca personas, procesos de
referencia COBIT, permiten que
organizacin. negocio e instalaciones de
los negocios se alineen con la
Enfocado para pequeas y procesamiento de
tecnologa de la informacin
medianas empresas. informacin.
para alcanzar los mejores
resultados.
Caractersticas: Caractersticas: Caractersticas:
Es un anlisis o valoracin Trata de definir el manejo Orientado al negocio.
de riesgos que permite de riesgo de una empresa. COBIT est diseado para
estar en capacidad de: Especifica los requisitos ser utilizado no solo por
o Identificar, evaluar necesarios para establecer, proveedores de servicios,
y manejar los implantar, mantener y usuarios y auditores de TI,
riesgos de mejorar un Sistema de sino tambin y
seguridad Gestin de la Seguridad principalmente, como gua
informtica de la Informacin (SGSI). integral para la gerencia y
o Establecer la Basado en ciclo Deming para los dueos de los
probabilidad de (Planear, Hacer, Revisar, procesos de negocio. El
que un recurso Actuar). marco de trabajo COBIT se
informtico. quede La seguridad de la basa en el siguiente
expuesto a un informacin es una principio: Para proporcionar
evento y el medida para incrementar la informacin que la
impacto en la el xito de los negocios. empresa necesita invertir en,
organizacin. El implementar un y administrar y controlar los
o Determinar las Sistema de Gestin de la recursos de TI usando un
medidas de Seguridad de la conjunto estructurado de

Celular: (593-9) 1699699 Celular: (593)99 922000
seguridad que Informacin, puede procesos que provean los

minimizan o ayudar a que una servicios que entregan la
neutralizan el organizacin cumpla informacin empresarial
riesgo a un costo favorablemente los requerida. Para satisfacer los
razonable. incentivos de objetivos del negocio, la
o Tomar decisiones mercadotecnia, los informacin necesita
preventivas y financieros y las adaptarse a ciertos criterios
planeadas en oportunidades de de informacin del negocio:
seguridad. crecimiento. efectividad, eficiencia,
Diferente de los anlisis Protege adecuadamente confidencialidad, integridad,
tradicionales enfocados a los activos para asegurar disponibilidad, cumplimiento
tecnologa. la continuidad del y confiabilidad.
Auto dirigido: ya que negocio. Orientado a procesos.
pequeos equipos de Minimiza los daos a la COBIT define las
personal de la organizacin. actividades de TI en un
organizacin en todas las Maximiza el retorno de las modelo genrico de treinta y
unidades de negocio y de inversiones y las cuatro procesos organizado
TI trabajan juntos para oportunidades de negocio. en cuatro dominios: Planear
hacer frente a las Proporciona una base y Organizar, Adquirir e
necesidades de seguridad comn para desarrollar Implementar, Entregar y Dar
de la organizacin. normas de seguridad Basado en controles. COBIT
Flexible: porque cada dentro de las define objetivos de control
mtodo se puede adaptar organizaciones y ser una para los treinta y cuatro
al entorno de riesgos que prctica eficaz de la procesos, as como para el
es nico para su gestin de la seguridad. proceso general y los
organizacin, los objetivos controles de aplicacin.
de seguridad y capacidad Impulsado por la medicin.
de recuperacin y el nivel Una necesidad bsica de toda
de habilidad. empresa, es entender el
Evolucionado: OCTAVE estado de sus propios

Celular: (593-9) 1699699 Celular: (593)99 922000
traslad a la organizacin sistemas de TI y decidir qu

hacia una vista y nivel de administracin y
funcionamiento control debe proporcionar.
operacional basada en los Para poder tener una visin
riesgos y la seguridad y se objetiva del nivel de
enfoca en la tecnologa en desempeo de una empresa
un contexto del negocio COBIT ha desarrollado
modelos de madurez, metas
y mediciones de desempeo
para los procesos de TI y
metas de actividades.
Equipo: Equipo: Equipo:
Identificar recursos Proteger adecuadamente Mantener informacin de
importantes. los activos para asegurar alta calidad para apoyar las
Enfocar las actividades de la continuidad del decisiones de negocios.
anlisis de riesgos. negocio. Mantener los riesgos
Relacionar amenazas y Minimizar los daos a la relacionados a TI bajo un
vulnerabilidades. organizacin. nivel aceptable.
Evaluar riesgos. Maximizar el retorno de Optimizar los servicios el
Crear una estrategia de inversiones. coste de las TI y tecnologa.
proteccin. Proporcionar una base Apoyar el cumplimiento de
comn para desarrollar las leyes, reglamentos y
normas de seguridad. acuerdos.
Componentes: Componentes: Componentes:
Los elementos que el Basado en el modelo de la reas de enfoque del
anlisis de riesgos debe gestin de la seguridad: Gobierno de TI
cubrir son: o Poltica de Metas de negocio
o Anlisis de los Seguridad de la Metas de TI
activos que son de Informacin. Indicadores de rendimiento
valor. o Organizacin de la Recursos de TI
o Anlisis de Seguridad de la Dominios COBIT

Celular: (593-9) 1699699 Celular: (593)99 922000
amenazas cuya Informacin. o Planear y Organizar

ocurrencia pueda o Gestin de Activos o Adquirir e
producir prdidas a de Informacin. Implementar
la organizacin. o Seguridad de los o Entregar y Dar
o Anlisis de Recursos Soporte
vulnerabilidades Humanos. o Monitorear y Evaluar
en los controles de o Seguridad Fsica y Procesos COBIT
seguridad de los Ambiental. Objetivos de Control
sistemas o Gestin de las
o Anlisis de todos Comunicaciones y
los riesgos y sus Operaciones.
impactos en las o Control de
operaciones de la Accesos.
organizacin. o Adquisicin,
o Anlisis de las Desarrollo y
medidas de Mantenimiento de
seguridad que Sistemas de
actuaran como un Informacin.
escudo de o Gestin de
proteccin total o Incidentes en la
parcial contra cada Seguridad de la
riesgo. Informacin.
Principios o Gestin de
Atributos Continuidad del
Salidas Negocio.
o Cumplimiento.
Mtodo Octave S Aplicacin de la Norma: Implantacin COBIT:
Fase 1: Auditoria: Establecer principios y
o Identificar o Valoracin del objetivos.
informacin de la nivel de Identificar reas de
organizacin. adecuacin, enfoque.

Celular: (593-9) 1699699 Celular: (593)99 922000
o Crear perfiles de implantacin y Implantar de acuerdo a

amenazas. gestin en: los procesos crticos para
Fase 2: seguridad lgica, el negocio.
o Examinar fsica, organizativa Elaborar herramientas de
infraestructura y legal. apoyo COBIT:
tecnolgica y su Consultora: o Encuestas
relacin con los o Conociendo el o Matrices de
bienes crticos. nivel de Madurez
Fase 3: cumplimiento o Val IT
o Identificar y actual, se debe o Herramientas
analizar riesgos. determinar el nivel automticas
o Desarrollar mnimo aceptable Planificar mejoras de
estrategias de y el nivel objetivo control.
mitigacin de en la organizacin. Conclusiones y
planes de Implantacin Recomendaciones
proteccin.
Resultados: Resultados: Resultados:
Estrategia de proteccin Certificacin ISO 27001: Refleja un amplio rango de
(define el rumbo de la requisitos necesarios para buenas y mejores prcticas.
organizacin). establecer, implantar, Certificaciones:
Plan de mitigacin mantener y mejorar un o CISA
(diseado para reducir el Sistema de Gestin de la o CISM.
riesgo). Seguridad de la o CGEIT
Lista de accin (acciones a informacin segn el o CRISC
corto plazo). Ciclo Deming.
Despus de implementado: Despus de implementado: Despus de implementado:

Plan de accin Proceso de mejora Proceso de mejora continua.
Monitoreo continua. Plan de accin
Control Plan de accin Monitoreo y Control
Monitoreo y Control

Celular: (593-9) 1699699 Celular: (593)99 922000
Realizado por: Olga Pez

Del cuadro anterior se desprenden las siguientes conclusiones:
Cada mtodo de OCTAVE-S es nico, ya que se adapta al entorno de riesgos de la organizacin, sus
objetivos de seguridad, la capacidad de recuperacin y el nivel de habilidad del personal de la
empresa. OCTAVE se centra en las amenazas y riesgos de seguridad de informacin, pero mira ms
all del nivel del sistema ya que se enfoca en las personas y los procesos.
Utiliza un mtodo de taller auto-dirigido en el que un equipo formado por distintas personas que
trabajan en la empresa, jefes operativos de personal, de seguridad y se analiza una serie de
escenarios, cuestionarios y listas de verificacin. Los escenarios abarcan una amplia gama de
posibles incidentes de seguridad, lo que ayuda a prever y planear distintas acciones y medidas de
seguridad en caso de que se presente alguna amenaza.
Se escogi OCTAVE-S para implementarlo en la empresa Pirmide Digital Ca. Ltda., por cuanto
despus de una reunin explicativa y de coordinacin con el Gerente General de esta empresa, luego
de analizar las tres metodologas expuestas en la Tabla 1 de esta Tesis, se decidi que el mtodo que
propone OCTAVE-S, dadas sus caractersticas, componentes, equipo de trabajo y resultados es el
que mejor se adapta al tamao, necesidades, perspectivas y resultados que requiere esta empresa.
CAPITULO DOS
ANALISIS DE LA SITUACION ACTUAL DE LA EMPRESA
2.1 Justificacin del uso del modelo Cobit versin 4.1
En base a la Tabla 1 presentada en el Captulo Uno, se seleccion Cobit 4.1 como el modelo para
realizar el anlisis de la situacin actual de la empresa Pirmide Digital Ca. Ltda. en base al
framework de mejores prcticas de Cobit 4.1, dirigida a la gestin de tecnologa de la informacin de
la empresa.
En la actualidad, los gerentes de negocio y profesionales de TI estn interesados en aplicar un marco
de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado internacionalmente, es por
esto que el modelo que propone Cobit se puede orientar a todos los sectores de una organizacin y
sirve para auditar la gestin de control de los sistemas de informacin.
Los principales beneficios de implementar Cobit 4.1 son:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin a procesos.
Aceptacin general de terceros y reguladores.
Cumplimiento de los requerimientos COSO para el ambiente de control de TI.20
20
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8

Celular: (593-9) 1699699 Celular: (593)99 922000
2.1.1 Marco de Trabajo Cobit 4.1
2.1.1.1 Misin de Cobit

Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte
de gerentes de negocio, profesionales de TI y profesionales de aseguramiento 21.
2.1.1.2 reas de enfoque del Gobierno de TI

Cada rea de enfoque que propone Cobit describe distintos temas que la direccin ejecutiva de la
empresa debe tomar en cuenta y prestar ms atencin, enfocndose en los requerimientos para lograr
una administracin y control adecuado de TI, las cinco reas de enfoque son:
Alineacin estratgica: se enfoca en garantizar la alineacin entre los planes de negocio y de TI: en
definir, mantener y validar la propuesta de valor de TI, y en alinear las operaciones de TI con las
operaciones de la empresa.
Entrega de valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos.
Administracin de recursos: se trata de la inversin ptima, asi como en la administracin adecuada de
los recursos crticos de TI (aplicaciones, informacin, infraestructura y personas).
Administracin de riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de la
empresa, un claro entendimiento de los requerimientos de cumplimiento, trasparencia de los riesgos
significativos para la empresa y la inclusin de las responsabilidades de administracin de riesgo dentro
de la organizacin.
Medicin del desempeo: rastrea y monitorea la estrategia de implementacin, la terminacin del
22
proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio.
2.1.1.3 Marco general de trabajo Cobit 4.1

Se define un modelo que divide el rea de TI en treinta y cuatro procesos alineados con las reas de
planificar y organizar, adquirir e implementar, entrega y soporte y monitorear y evaluar, proveyendo
una visin de principio afn de TI.
Figura 3: Marco de trabajo general de Cobit 4.1
21
22

Celular: (593-9) 1699699 Celular: (593)99 922000
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 26
Cobit define las actividades de TI en un modelo de procesos que pertenecen a cuatro dominios:
Planear y Organizar (PO): este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Adquirir e Implementar (AI): para realizar la estrategia de TI, se necesita identificar soluciones de TI y
tambin implementarlas e integrarlas en el proceso de negocio.

Celular: (593-9) 1699699 Celular: (593)99 922000
Entrega y Soporte (DS): este dominio trata de la entrega en s de los servicios requeridos, lo cual incluye
la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administracin de los datos y de las instalaciones operativas.
Monitorear y Evaluar (ME): todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y de cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y el
gobierno de aprovisionamiento. 23
Los cuatro dominios propuestos por Cobit estn divididos en treinta y cuatro procesos y ms de
trescientos objetivos de control.
2.1.2 Interrelaciones de los componentes Cobit 4.1

Los recursos de TI estn gestionados por los procesos de TI para alcanzar las metas de TI que
responden y se alinean a los requerimientos del negocio.
Figura 4: Interrelaciones de los componentes Cobit 4.1
Realiz
ado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Los beneficios de implementar Cobit son:
23

Celular: (593-9) 1699699 Celular: (593)99 922000
Mejor alineacin, con base en su enfoque de negocios

Una visin, entendible para la gerencia, de lo que hace TI
Propiedad y responsabilidades claras, con base en su orientacin a procesos
Aceptacin general de terceros y reguladores
Entendimiento compartido entre todos los Interesados, con base en un lenguaje comn
Cumplimiento de los requerimientos COSO para el ambiente de control de TI 24
24

Celular: (593-9) 1699699 Celular: (593)99 922000
2.1.3 Criterios de informacin de Cobit 4.1

Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de
control, los cuales son referidos en Cobit como requerimientos de informacin del negocio. Con base
a los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes
siete criterios de informacin:
Efectividad: tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y
se proporcione de una manera oportuna, correcta, consistente y utilizable.
Eficiencia: consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso
de los recursos.
Confidencialidad: se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada.
Integridad: est relacionada con la precisin y completitud de la informacin, as como con su validez de
acuerdo a los valores y expectativas del negocio.
Disponibilidad: se refiere a que la informacin est disponible cuando sea requerida por los procesos del
negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades
necesarias asociadas.
Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales
est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como
polticas internas.
Confiabilidad: se refiere a proporcionar la informacin apropiada para que la gerencia administre la
entidad y ejerza sus responsabilidades fiduciarias y de gobierno. 25
25

Celular: (593-9) 1699699 Celular: (593)99 922000
2.1.4 Metas de negocio y de TI

La definicin de un conjunto de metas de negocios y TI sirven para contar con una base que ayude a
establecer requerimientos de negocios y desarrollar mtricas que permitan la medicin de estas
metas. Cada empresa usa TI para soportar iniciativas de negocios y estas pueden estar representadas
como metas de negocio para TI. Si TI va a entregar exitosamente servicios para soportar la estrategia
de la empresa, debera haber una propiedad y direccin claras de los requerimientos para el negocio
(el cliente) y un claro entendimiento de qu necesita ser entregado y como por parte de TI (el
proveedor).
2.1.5 Recursos de TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos
definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa
para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de
la informacin del negocio. Para responder a los requerimientos que el negocio tiene hacia TI, la
empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada. 26
Los recursos de TI identificados en COBIT 4.1 se definen:
Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que
procesan informacin.
Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de
informacin, en cualquier forma en que son utilizados por el negocio.
Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de
administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el
ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por
27
outsourcing o contratadas, de acuerdo a como se requieran.
2.2 Caracterizacin de la Empresa
2.2.1 Misin
Proveer al mercado latinoamericano, de las ms efectivas herramientas para optimizar la gestin
gerencial, mediante soluciones integrales de alta calidad, con tecnologa de punta y un equipo
profesional altamente capacitado.28
26
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,11
27
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,12
28
Entregado por la empresa Pirmide Digital Ca. Ltda.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.2.2 Visin
Ser y ser considerados como la empresa lder en el mercado latinoamericano, en consultora y
capacitacin para la alta gerencia.29
2.2.3 Valores
Responsabilidad
Cultura de servicio
Compromiso
Constancia
Respeto a la dignidad humana
Trabajo en equipo
Comunicacin
tica empresarial
Confianza en la palabra30
2.2.4 Descripcin histrica

Pirmide Digital Ca. Ltda. empresa ecuatoriana fundada en el ao 2003, conformada por un equipo
de gente joven, dinmica y actualizada, enfocada en desarrollar las capacidades que exige cada
persona en cada organizacin.
Comprometidos con el desarrollo integral de sus clientes. Trabajando siempre con los ms altos
estndares de calidad y eficiencia y con el ms profundo respeto al ser humano; garantizando al
cliente confidencialidad total en cuanto a sus proyectos, realidades, situaciones y desempeo.
Pirmide Digital fue la primera empresa ecuatoriana especializada en ofrecer soluciones de
capacitacin y consultora, ajustadas a las necesidades de sus clientes.
Su experiencia y habilidades en las reas de desarrollo de estrategias, reestructuracin de procesos y
organizaciones, desarrollo de sistemas de servicios y promocin de habilidades gerenciales, los
colocan como los nicos en el mercado ecuatoriano con la capacidad de ofrecer soluciones y
resultados realmente alineados con las estrategias, planes y metas de su negocio, hablando el mismo
idioma que su equipo directivo y conociendo las implicaciones de negocio, envueltas en cada
decisin de desarrollo.
Para ello, cuentan con un equipo de profesionales altamente calificado, con experiencia prctica
nacional e internacional y excelente preparacin acadmica; formados en metodologas de
aprendizaje y cambio organizacional, quienes proveen la mezcla perfecta para garantizar la
transferencia de conocimientos y la aplicabilidad de las soluciones. De hecho, han tenido la
oportunidad de prestar sus servicios profesionales, de capacitacin y de consultora en ms de quince
pases alrededor del mundo.
29
30

Celular: (593-9) 1699699 Celular: (593)99 922000
Otra de sus fortalezas, es la flexibilidad en sus proyectos y programas, ya que disean las soluciones
de manera particularizada, de acuerdo a las necesidades y circunstancias especficas de cada
empresa, de cada cliente.
Su metodologa de trabajo se basa en comprender que cada cliente es nico y especial. Las
soluciones enlatadas no son una opcin y sus historias de xito as lo demuestran.
Un principio fundamental que gua su trabajo, es transferir las habilidades, destrezas y
conocimientos a sus clientes de forma prctica y aplicable, logrando que sean capaces de continuar
su crecimiento de manera independiente.
2.2.5 Actividades principales

Todos los programas de capacitacin y de consultora que ofrece Pirmide Digital, se disean de
acuerdo al objetivo empresarial y de aprendizaje del cliente y considerando el perfil de las personas
que van a participar y las metas que se pretenden conseguir.
Para cumplir con sus objetivos, se ha diseado una plataforma de servicios que incluye :
Cursos gerenciales on-line: Pirmide Digital tiene implementado desde hace ms de un ao este
servicio, como una nueva opcin metodolgica de capacitacin, basada en el uso de tecnologa de
punta: Servicios de Capacitacin Gerencial On-Line.
La idea que sustenta este servicio es que los objetos de aprendizaje tienen sus orgenes en la
programacin, diseo, anlisis y teoras orientadas a objetos.
Los Cursos de Entrenamiento y Capacitacin Gerencial On-Line, que actualmente ofrece Pirmide
Digital, son los siguientes:
Liderazgo Ejecutivo para la Alta Gerencia
Convergencia Tecnolgica
Estrategia
Gerencia
Gerencia de IT
Plan de Mercadeo
Sistemas de Informacin Gerencial
Tecnologas de Informacin y Comunicacin
Otros temas gerenciales
Cursos gerenciales presenciales: estn focalizados en atender y solucionar aspectos puntuales o

reas especficas de crecimiento o mejora, pues entendemos al negocio como un conjunto de
variables sobre las que se hace necesario tomar control y optar por las decisiones ms oportunas.
Dentro del esquema de capacitacin presencial, nuestro paquete de servicios, incluye
aproximadamente cien Cursos Gerenciales, divididos en seis grandes grupos:
Simuladores de Negocios:
Modelo de Simulacin de Negocios - General
Modelo de Simulacin de Negocios - Elctricas
Modelo de Simulacin de Negocios - Petrleo

Celular: (593-9) 1699699 Celular: (593)99 922000
Modelo de Simulacin de Negocios Telecomunicaciones

Modelo de Simulacin de Negocios - A la medida de sus necesidades
CRM Customer Relationship Management:

Servicio al Cliente de Clase Mundial
Estrategias Exitosas de Implementacin de CRM
Gerencia Operativa de Centros de Contacto
Estrategias Efectivas de Cierres de Ventas y Manejo de Objeciones
Cursos Gerenciales de CRM a la Medida de sus Necesidades
Inters Gerencial:
Coaching para Lderes
Gerencia del Desempeo y Balanced Scorecard
Emprendedor Electrnico
Gerencia con Programacin Neurolingustica (PNL)
Cursos de Inters Gerencial a la Medida de sus Necesidades
Desarrollo de Ejecutivos:
Diplomado en Gerencia de Centros de Contacto
Administracin Efectiva del Tiempo
Competencias del Capital Humano
Formando Lderes Exitosos en su Empresa
Cursos Gerenciales de Desarrollo de Ejecutivos a la Medida de sus Necesidades
Telecomunicaciones, Tecnologa y Utilities:

Estrategias Exitosas de Ventas, Retencin y Fidelizacin para empresas de Telecomunicaciones
Modelo de Simulacin de Negocios aplicado a las Telecomunicaciones
Modelo de Simulacin de Negocios aplicado a Empresas Elctricas
Diplomado en Gerencia de Telecomunicaciones
Cmo Implementar ERPs Eficientemente
Gerencia Operativa en Empresas de Telecomunicaciones
Tecnologa para Fbicos Tecnolgicos
Indicadores Claves de Operacin y Rendimiento para Empresas de Telecomunicaciones

Celular: (593-9) 1699699 Celular: (593)99 922000
Gerencia de Marketing para Empresas de Telecomunicaciones

Gerencia Efectiva de Proyectos
Desarrollo de Planes de Negocios Exitosos para Empresas de Telecomunicaciones
Gerencia de Redes y Seguridades Informticas
Cursos Gerencias de Telecomunicaciones, Tecnologa y Utilities a la medida de sus necesidades
Consultoras en desarrollo organizacional: en las que se brinda ayuda ayudar con procesos de:
Seleccin de Personal:
o Bsqueda de talentos
o HeadHunting
o Evaluaciones de seleccin de personal
Diagnstico Estratgico Organizacional:
o Clima organizacional
o Niveles de satisfaccin actual del personal
o Factores de motivacin actual del personal
o Diagnstico organizacional en 12 dimensiones
o Problemas tcnicos, administrativos y de relaciones interpersonales
o Mapeo del recurso humano
Desarrollo de Habilidades Ejecutivas:
o Liderazgo
o Comunicacin
o Trabajo en Equipo
o Coaching Ejecutivo
Administracin de Nmina:
o Outsourcing de personal
o Administracin de beneficios y compensaciones
o Valoracin de cargos y competencias
o Estadsticas Gerenciales
o Pago de obligaciones laborales
o Manejo de conflictos
o Outplacement

Celular: (593-9) 1699699 Celular: (593)99 922000
o Indicadores de satisfaccin del personal

o Manejo electrnico de nmina
Evaluacin de Desempeo:
o Balanced Scorecard
o Indicadores de Gestin
o Identificacin de competencias de gestin
o Evaluacin de desempeo de 360 grados
Procesos y Procedimientos:
o Mapeo de procesos
o Las 7 herramientas claves de procesos
o Diagnstico organizacional en 4 dimensiones
o Tiempos y movimientos
o Indicadores financieros y de produccin
Planificacin Estratgica:
o Definicin de Objetivos Estratgicos
o Mapa Estratgico
o Indicadores Claves de Gestin
o Indicadores Claves del Negocio
o FODA
o Plan Operativo Anual POA
Certificaciones:
o ISO
o COPC
o Consultora en Desarrollo Organizacional, de acuerdo a sus necesidades y presupuestos
Consultoras de gestin: en las que proveen los servicios de:

Servicio de Diseo y Rediseo de Procesos
Anlisis de Valor Agregado
Costeo ABC
Planificacin Estratgica
Indicadores de Gestin

Celular: (593-9) 1699699 Celular: (593)99 922000
Consultora de Gestin, de acuerdo a sus necesidades y presupuestos
2.2.6 Estructura organizacional

Figura 5: Estructura organizacional empresa Pirmide Digital Ca. Ltda.
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
De acuerdo al grfico anterior, se concluye que la ubicacin del rea de tecnologa no es adecuada,
ya que debe estar en un nivel de asesora para poder mejorar el nivel de decisin de la Gerencia de
Tecnologa.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.2.7 Estructura de la unidad informtica

Figura 6: Estructura de la unidad informtica empresa Pirmide Digital Ca. Ltda.
2.2.8 Seguridad de la unidad informtica
2.2.8.1 Seguridad fsica

Para poder acceder a las oficinas de la empresa ubicadas en la Avenida 12 de Octubre y Cordero en
el Edificio World Trade Center torre B oficina 702, se debe dejar una identificacin con el guardia
en la planta baja del edificio y dar a conocer el motivo de la visita.

Celular: (593-9) 1699699 Celular: (593)99 922000
En la oficina principal de la empresa, se encuentra el rea administrativa y las gerencias de

consultora, relacin con el cliente y financiera. Para poder acceder a documentos de importancia o
confidenciales de la empresa, se debe hacer con el respectivo permiso del Gerente General, quien
delega que su asistente administrativa nos d una copia de los documentos requeridos, previo a la
firma de un acuerdo de confidencialidad.
En las oficinas ubicadas en Campos Verdes calle Juan Pascoe lote 115 y Miriam de Sevilla en el
Valle de los Chillos, se encuentra la Gerencia General, las gerencias de ventas, marketing y
tecnologa. Para el ingreso al rea de sistemas y el cuarto donde se encuentran los servidores, cada
persona debe activar el acceso mediante su tarjeta magntica, y siempre el Asistente de tecnologa
est presente durante la visita.
En el cuarto de servidores se cuenta con:
Ventilacin las 24 horas
Extinguidores de incendio
Cinco UPSs
La empresa cuenta dentro de su documentacin formal con una ley de polticas de salud, que es un
acuerdo firmado por cada empleado en el que se garantiza un servicio de salud preventivo y
curativo, as como con un cdigo de conducta en el que se expresa claramente la posicin de la
empresa en relacin con el cumplimiento de las leyes, el respeto a las normas ticas y el compromiso
con las personas que forman parte de la compaa y con un acuerdo de confidencialidad que debe
firmar todo empleado y se compromete a no divulgar informacin delicada de la empresa. Tambin
cuenta con un plan de la red de datos en la que se muestra como est estructurada la red dentro del
edificio.
2.2.8.2 Seguridad lgica

Para el acceso a cada mquina cliente o servidores, cada usuario cuenta con una clave y contrasea
personal, las que deben ser cambiadas cada seis meses por motivos de seguridad.
Para el control de accesos a ambas oficinas, cada empleado cuenta con una identificacin con su
nombre, cargo y una fotografa y tambin con una tarjeta magntica para el acceso desde el
parqueadero hasta cada una de las oficinas de la empresa.
2.2.8.3 Seguridad legal

Los cinco servidores que tiene la empresa tienen garanta de fbrica en caso de daos o desperfectos,
adems se cuentan con contratos de mantenimiento y soporte para el servidor principal.
Los servidores, las estaciones de trabajo y perifricos estn asegurados en caso de robos o
desperfectos.
2.2.8.4 Seguridad de datos

Para proteger adecuadamente los datos, aplicaciones y software residentes en los servidores, se han
definido procesos de respaldo cuya ejecucin est a cargo del Asistente de Tecnologa, debe revisar
que los respaldos que se ejecutan automticamente se hayan hecho adecuadamente y realizar un
respaldo manual una vez al mes de la pgina web de la empresa; adems de realizar respaldos diarios
del servidor de la base de datos, en caso de que se presente algn problema
Existe una replicacin de datos en un servidor alojado en California, Estados Unidos.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.2.9 Caracterizacin de la Carga

La empresa cuenta con cinco servidores:
Servidor mail
Servidor web
Servidor proxy
Servido de bases de datos
Servidor de seguridad
Las actividades en la empresa se realizan de lunes a viernes desde las 9:00 am hasta las 16:00.
2.2.9.1 Topologa de red

La empresa Pirmide Digital Ca. Ltda. utiliza el enlace dedicado del proveedor de servicio de
internet Andinatel, el que se enlaza con la oficina ubicada en el Valle de los Chillos por medio de la
recepcin del router a travs de una Red Privada Virtual (VPN) para tener acceso a archivos o
documentos compartidos y monitorear los servidores desde donde sea que se encuentren.
La empresa cuenta con una conexin de banda ancha de 256 Kbps para ambas oficinas, y como se
observa en la siguiente grfica, para la distribucin de informacin se emplea la siguiente topologa
de red:
Figura 7: Mapa topolgico de red de la empresa Pirmide Digital Ca. Ltda.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.2.9.2 Determinacin del periodo ms representativo

El instante de tiempo en el que se ha comprobado que los servidores se encuentran atendiendo al
mayor nmero de usuarios durante la jornada de trabajo, est entre las 11:30 am y las 13:00 y
despus del receso por la hora de almuerzo entre las 15:00 hasta las 16:00.
2.2.9.3 Determinacin del tipo de carga

Los cinco servidores tienen carga interactiva, ya que los empleados de la empresa acceden al a cada
uno se los servidores para poder hacer uso del servicio, y todos los usuarios interactivos reciben de
inmediato el servicio, garantizando buenos tiempos de respuesta.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.2.9.4 Definicin de la etapa de desarrollo de la carga

La etapa de desarrollo de la carga en la que actualmente se encuentra la empresa Pirmide Digital
Ca. Ltda. actualmente es de crecimiento, ya que el nmero de empleados no es mayor, haciendo que
la carga sea pequea y que todos los usuarios reciban un servicio acorde con sus expectativas.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3 Aplicacin del modelo Cobit 4.1 para realizar un diagnstico de la

situacin actual de la empresa
2.3.1 Modelos de Madurez

Cobit 4.1 presenta un modelo de madurez basado en el Modelo de Evolucin de Capacidades de
Software (CMM), el que establece un orden claro, discreto y absoluto, definiendo niveles o etapas
de madurez31 adems establece mtricas para evaluar el nivel de los controles de TI, los cuales
deben ser alineados con el nivel correspondiente de los procesos de TI.
En este modelo se describen cinco niveles de madurez, a travs de distintos procesos de madurez
desarrollados para los treinta y cuatro procesos de Cobit 4.1, la empresa Pirmide Digital Ca. Ltda.
podr conocer cul es su desempeo actual y cul es su objetivo de mejora.
El modelo de madurez se lo utiliza con una escala de medicin creciente a partir de cero hasta cinco,
el desarrollo de esta escala se describe a continuacin:
Tabla 2: Modelo de madurez
Nivel Descripcin
0 Carencia completa de cualquier proceso reconocible. La empresa no ha
No existente reconocido siquiera que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estndar en su
1
lugar existen enfoques ad hoc que tienden a ser aplicados de forma
Inicial
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes reas que realizan la misma tarea.
2 No hay entrenamiento o comunicacin formal de los procedimientos
Repetible estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
3 Los procedimientos se han estandarizado y documentado, y se han
31
Arbelez Roberto. Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la seguridad en las
organizaciones. Internet. www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05-
ModelosMadurezSeguridadInformatica.pdf Acceso: 11 de febrero de 2013

Celular: (593-9) 1699699 Celular: (593)99 922000
Definido difundido a travs de entrenamiento. Sin embargo, se deja que el individuo

decida utilizar estos procesos, y es poco probable que se detecten
desviaciones. Los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas cuando los procesos no estn trabajando de forma efectiva.
4
Los procesos estn bajo constante mejora y proporcionan buenas prcticas.
Administrado
Se usa la automatizacin y herramientas de una manera limitada o
fragmentada.
Los procesos se han realizado hasta un nivel de mejor prctica, se basan en
los resultados de mejoras continuas y en un modelo de madurez con otras
5
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
Optimizado
brindando herramientas para mejorar la calidad y la efectividad, haciendo
que la empresa se adapte de manera rpida.
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 19

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2 Modelos de madurez de los procesos Cobit 4.1 seleccionados

De acuerdo a los objetivos del proyecto de disertacin y previo a una reunin con el Gerente General
de Pirmide Digital, se han seleccionado los siguientes procesos de Cobit 4.1:
PO1: Definir el plan estratgico de TI
PO3: Determinar la direccin tecnolgica
PO4: Definir procesos, organizacin y relaciones de TI
PO9: Evaluar y administrar riesgos de TI
AI5: Instalar y acreditar sistemas
AI6: Administrar cambios
DS1: Definir y administrar niveles de servicio
DS5: Garantizar la seguridad de los sistemas
DS10: Administrar los datos
ME1: Monitorear el desempeo de TI
ME2: Monitorear y evaluar el control interno
2.3.2.1 Proceso PO1: Definicin de un plan estratgico de tecnologa de TI

Tabla 3: Modelos de madurez, Proceso PO1
Dominio: Planeacin y Organizacin

Proceso: PO1 Definicin de un plan estratgico de tecnologa de TI
Nivel Pregunta Si Parcialmente No Anlisis
La alta gerencia desconoce la necesidad de
0
Celular: (593-9) 1699699 Celular: (593)99 922000
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la

gerencia TI?
La planificacin estratgica se elabora por un

requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
1 administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido

sustancialmente por la gerencia?
La planificacin estratgica se comparte

ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
2
demandas administrativas?
Hay procesos para identificar actualizaciones del

plan?
Dentro de la empresa los procesos de

planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando

y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el

personal?
Existe algn procedimiento para examinar el
3
proceso en una base regular?
La estrategia global TI incluye una definicin

global de riesgos?
Las estrategias de los recursos financieros

incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin

de la direccin?
La planificacin estratgica est definida con
4
mayores responsabilidades niveladas?
La planificacin estratgica establece las

prcticas estndar y sus excepciones son notadas

Celular: (593-9) 1699699 Celular: (593)99 922000
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
El plan estratgico est considerado dentro de

los objetivos comerciales de la empresa?
Existe una funcin de la planificacin
estratgica que est integrada con la planificacin
comercial?
5 El plan estratgico est diseado para ser

implementado a largo plazo?
El plan estratgico es verstil?
El plan estratgico est diseado respetando las

normas que rigen la empresa?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO1:
Administracin del valor de TI
Alineacin de TI con el negocio
Evaluacin del desempeo y la capacidad actual
Plan estratgico de TI
Planes tcticos de TI
Administracin del portafolio de TI32
Siendo el objetivo primordial de un modelo de madurez el ascender a un grado de madurez superior,

para que el proceso PO1 ascienda a un grado de madurez tres, como estrategia a corto y largo plazo
y conforme lo establece Cobit 4.1, se recomienda lo siguiente:
Se debe definir un plan estratgico.
Se debe definir un proceso para identificar actualizaciones en el plan estratgico de la compaa.
Se debe definir una poltica de cmo y cundo se va a realizar la planeacin estratgica de TI,
esta planeacin debe ser conocida por todo el equipo de trabajo y se debe garantizar que sea
factible y estructurado.
Realizar un inventario de las soluciones tecnolgicas y la infraestructura actual de la
organizacin.
En la estrategia general de TI, se debe incluir una definicin de los riesgos a los que est
expuesta la organizacin.
La planeacin estratgica de TI se debe discutir en reuniones de la direccin del negocio.
32

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.2 Proceso PO3: Determinar la direccin tecnolgica


Proceso: PO3 Determinar la direccin tecnolgica
La empresa pone inters en planear la

infraestructura tecnolgica?
Existe un plan de infraestructura?
Hay experiencia y conocimiento para realizar un

plan de infraestructura documentado y formal?
0 Existe personal capacitado en su organizacin
que tenga las habilidades y conocimientos para
realizar un plan de infraestructura?
Se entiende la importancia de planear un cambio

para focalizar correctamente los recursos?
Los directivos reconocen la necesidad de un plan

pero no lo tienen an?
El desarrollo de tecnologa est muy limitado?
Los directivos enfocan su atencin en la

1 necesidad de realizar planeacin?
La direccin de la tecnologa del negocio est a

cargo de vendedores o personas incorrectas?
La comunicacin es inconsistente sobre el

impacto en cambios de tecnologa?
Se comunica la necesidad y la importancia de

realizar un plan tecnolgico?
La planeacin se enfoca en solucionar
problemas tcnicos en vez de cumplir las
necesidades del negocio?
2 La evaluacin de cambios tecnolgicos est a

cargo de diferentes individuos que siguen
procesos similares?
Existe un entrenamiento formal y comunicacin

de los roles y responsabilidades?
Se reconoce en su organizacin que estn
apareciendo tcnicas y estndares comunes para
el desarrollo de la infraestructura?
Los directivos conocen sobre el plan de
3

Celular: (593-9) 1699699 Celular: (593)99 922000
El plan estratgico de TI est alineado con el

plan de infraestructura tecnolgica?
Se cre un plan de infraestructura tecnolgica
definido, documentado y bien comunicado pero
inconsistente para su aplicacin?
Los empleados y directivos entienden a donde se
dirige la organizacin considerando riesgos y
alineado con el plan estratgico?
Se seleccionan los mejores vendedores
considerando su experiencia y conocimiento para
la compra de tecnologa?
El plan estratgico de infraestructura tecnolgica

fue creado por gente con experiencia?
Se capacita de manera formal y especializada a
los nuevos empleados para que conozcan el plan
estratgico de la empresa?
Se tiene en cuenta el impacto del cambio de

tecnologa?
4 Se anticipa a los problemas y se asignan
responsables para cumplir y actualizar el plan de
Se introducen las mejores prcticas internas en

los procesos?
Se dirige la empresa utilizando estndares de la

industria?
Se administra con alto nivel los impactos que los

cambios de tecnologa generan?
5 Se aprueba de manera ejecutiva el cambio de

tecnologa?
Est formalizada la participacin en estndares?
Se utiliza de manera exhaustiva las mejores

prcticas de la industria?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Planeacin de la direccin tecnolgica
Plan de infraestructura tecnolgica
Monitoreo de tendencias y regulaciones futuras
Estndares tecnolgicos
Consejo de arquitectura de TI33

para que el proceso PO3 ascienda a un grado de madurez dos, como estrategia a corto plazo y
conforme lo establece Cobit 4.1, se recomienda lo siguiente:
Se debe difundir la necesidad de la planeacin tecnolgica para que haya un enfoque en generar
soluciones tcnicas a problemas tcnicos, en lugar de que se utilice a la tecnologa para satisfacer
las necesidades del negocio.
El personal encargado debe aprender sus habilidades sobre planeacin tecnolgica a travs de un
aprendizaje y una aplicacin repetida de las tcnicas.
Debe existir un entrenamiento formal y comunicacin de los roles de todos los empleados y sus
responsabilidades.
Se debe contar con tcnicas y estndares comunes para el desarrollo de la infraestructura
tecnolgica.
33

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.3 Proceso PO4: Definir procesos, organizacin y relaciones de TI


Proceso: PO4 Definir procesos, organizacin y relaciones de TI
La organizacin de TI se centra efectivamente a
0
enfocar el logro de los objetivos del negocio?
Las actividades y funciones de TI estn

implementadas, pero son inconsistentes?
Se ha definido una estructura organizacional,
roles y responsabilidades que estn
1 informalmente asignadas?
La funcin de TI se considera una funcin de
soporte que no incluye en su totalidad la
perspectiva de organizacin?
Existe un entendimiento implcito acerca de la
necesidad de implementar una organizacin de
TI?
Roles y responsabilidades no estn formalizados

o no se cumplen?
La funcin de la TI est organizada para

responder tcticamente, pero inconsistentemente?
La necesidad para una organizacin estructurada
2 y de administracin est vilmente comunicada,
pero las decisiones que se toman son
dependientes del conocimiento y de las
herramientas claves de uso individual?
Existen tcnicas emergentes comunes para

administrar la organizacin de TI y sus

relaciones?
Se han definido roles y responsabilidades para la

organizacin de la TI y de terceros?
La organizacin de la TI est desarrollada,
documentada, comunicada y alineada con la
estrategia de TI?
3 El diseo organizacional y el control interno del

entorno estn definidos?
Hay formalizacin de relaciones con otras partes

interesadas?
La organizacin de TI est funcionalmente

Celular: (593-9) 1699699 Celular: (593)99 922000
completa?
El personal de la TI tiene la experiencia y
formacin necesaria para desarrollar un plan de
infraestructura de tecnologa?
Existe un formal y especializado entrenamiento

para la investigacin de la tecnologa?
La responsabilidad para el desarrollo y
mantenimiento de un plan de infraestructura de
4 tecnologa podra ser asignada?
La estrategia de los recursos humanos est
alineada con la direccin de la tecnologa para

asegurar que el personal de la TI pueda manejar
los cambios de la tecnologa?
La direccin de TI est guiada por la industria y

estndares internacionales y de desarrollo?
Existe aprobacin ejecutiva formal de un nuevo

cambio de reglas tecnolgicas?
La entidad tiene un plan de infraestructura
robusta que refleje los requerimientos del
negocio?
Existe una continua y real mejora de los
5
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la
tcnica de las TIs?

espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Marco de trabajo de procesos de TI
Comit estratgico de TI
Comit directivo de TI
Ubicacin organizacional de la funcin de TI
Estructura organizacional
Establecimiento de roles y responsabilidades
Responsabilidad de aseguramiento de calidad de TI
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
Propiedad de datos y sistemas
Supervisin
Personal de TI
Personal clave de TI
Polticas y procedimientos para personal contratado 34

para que el proceso PO4 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Todo el personal de TI debe tener roles formalizados y todos estos roles se deben cumplir.
La unidad de TI debe organizarse de tal manera que sea capaz de responder de forma tctica a las
necesidades de los clientes y los distintos proveedores.
Conocer responsabilidades del nivel directivo sobre el rea de TI.
Conocer la direccin de la Gerencia y supervisin de TI.
Se debe revisar que el rea de TI se alinee con el negocio y que haya una correcta participacin
de esta rea en los procesos de decisin clave.
Controlar que se determinen funciones de seguridad, calidad y control interno.
34
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 42,43

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.4 Proceso PO9: Evaluar y administrar riesgos de TI


Proceso: PO9 Evaluar y administrar riesgos de TI
Se realiza un anlisis sobre el riesgo de
0 imposicin de contribuciones para procesos y
decisiones del negocio?
La organizacin considera los impactos de
negocio asociados con vulnerabilidades de
seguridad y con desarrollo de proyectos inciertos?
El manejo de riesgos se ha visto identificado
como relevante para adquirir soluciones de TI y
deliberadamente servicios de TI?
La organizacin sabe de sus responsabilidades
tanto legal como contractual y riesgos,
1 considerndolos en una manera ad hoc?
El manejo de TI especifica las responsabilidades
para el manejo de riesgos en descripciones de
trabajo u otros significados informales?
La especificacin de TI relaciona riesgos tales
como seguridad e integridad y son

ocasionalmente considerados en un proyecto
como base principal del mismo?
Los riesgos de TI relacionados da a da a las
diferentes operaciones de la TI son

infrecuentemente discutidos en las reuniones de
la AG?
Los riesgos consideran que la mitigacin o

calma es inconsistente dentro del rea de TI?
2 Existe un deseo emergente de entender que los
riesgos de TI son importantes y necesarios para
ser considerados?
Hay algn acercamiento al riesgo de distribucin
de contribuciones existentes, dentro del rea de
TI?
El rea de TI define generalmente
procedimientos o descripciones de trabajo
gestionando con la Gerencia de TI?
3
La distribucin de contribuciones en las
diferentes operaciones de TI depende
mediticamente de un manejo creciente, por lo

Celular: (593-9) 1699699 Celular: (593)99 922000
que esta tiene una gran importancia dentro de la

agenda de trabajo?
El riesgo de distribucin de contribuciones
sigue un proceso definido que es documentado y

reconocido por todo el personal a travs del
entrenamiento?
Las decisiones que se toman a consideracin por
la AG son salidas efectivas a una posible crisis
dentro de la TI?
La metodologa es convincente y segura?
Todos los proyectos que fueron cubiertos o estn
en operacin son examinados sobre una base de
riesgos?
El manejo de la poltica de una organizacin
grande define cundo y cmo debe conducirse los
riesgos de distribucin de contribuciones?
4 La distribucin de contribuciones de riesgo es un

procedimiento y excepciones a seguir por la AG?
El manejo de los riegos de TI est definido en

funcin con el nivel de responsabilidad de la AG?
La AG es notificada de los cambios en el
entorno de la TI lo cual puede significativamente
afectar al escenario de riegos?
La AG es capaz de monitorear la posicin de
riesgo y adoptar una decisin acertada que sea
acogida por el personal de la TI?
El manejo efectivo de una base de datos de

riegos est debidamente establecido?
La distribucin de contribuciones habra de
5 desarrollar una organizacin la cual siga
regularmente el buen manejo de su estructura?
El anlisis y reporte de riegos son altamente

automatizados?
El manejo de riegos es verdaderamente
aceptable y extensible para los miembros de la
USI?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Marco de trabajo de administracin de riesgos
Establecimiento del contexto del riesgo
Identificacin de eventos
Evaluacin de riesgos de TI
Respuesta a los riesgos
Mantenimiento y monitoreo de un plan de riesgos35

para que el proceso PO9 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Los riesgos de TI relacionados da a da a las diferentes operaciones de TI se deben discutir
siempre en las reuniones con la Gerencia General.
Debe existir un enfoque de evolucin de riesgos en desarrollo y debe ser implementado en
discrecin del gerente de TI.
Los procesos de mitigacin de riesgos deben ser implementados donde se identifiquen los
riesgos.
Debe haber un entrenamiento al personal para que entiendan que los riesgos de TI son
importantes y necesarios y deben ser siempre considerados.
35

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.5 Proceso AI5: Instalar y acreditar sistemas

Tabla 7: Modelos de madurez, Proceso AI5
Dominio: Adquisicin e Implementacin

Proceso: AI5 Instalar y acreditar sistemas
La empresa tiene un proceso formal de
instalacin de nuevas tecnologas tanto de
hardware como de software?
La empresa posee un proceso formal que
0 verifica que la solucin sea adecuada y est
alineada con los objetivos de TI?
El personal reconoce la necesidad de verificar si
las soluciones que se dan encajan con el propsito
deseado?
La empresa reconoce la necesidad de verificar y
confirmar que las soluciones que se implementen
contribuyen al propsito deseado?
La empresa realiza pruebas para algunos

proyectos?
1 La empresa depende de iniciativas del equipo

del proyecto para realizar las pruebas?
Los resultados que obtiene la empresa al realizar

las pruebas usualmente varan?
La empresa tiene una acreditacin formal y estar

fuera de lnea es espordico o inexistente?
La empresa tiene alguna consistencia entre la

comprobacin y la acreditacin?
La empresa basa sus pruebas en metodologas?
Existe normalmente una ausencia de

2 comprobacin de la integracin?
Existe cierto proceso de la aprobacin informal,
no necesariamente basado en un criterio
regularizado?
Existe una acreditacin formal y estar fuera de

lnea es aplicado incoherentemente?
Est implementada una metodologa formal
relacionada con la instalacin, migracin,
3 conversin y existe una aceptacin?
Existe la habilidad de mantener un

cumplimiento en la administracin?

Celular: (593-9) 1699699 Celular: (593)99 922000
Se encuentran integrados y de alguna forma

automatizados los procesos de Instalacin y

acreditacin de TI dentro del ciclo de vida del
sistema?
Los entrenamientos, pruebas y la transicin entre
el estado de produccin y acreditacin varan de

los procesos definidos, y se basan en decisiones
individuales?
Es inconsistente la calidad de los sistemas que
ingresan a la etapa de produccin, generando as
problemas de post-implementacin?
Los procesos se encuentran formalizados y
desarrollados para encontrarse bien organizados y

ser prcticos, con ambientes de prueba y procesos
de acreditacin definidos?
La evaluacin para alcanzar los requerimientos

de usuario est estandarizada y puede ser medida?
4 La calidad de los sistemas que ingresan a la
etapa de produccin es satisfactoria para la
administracin?
Se emplean evaluaciones post-implementacin

ni revisiones continuas de calidad?
El sistema de pruebas refleja de forma adecuada

el ambiente real?
Los procesos de instalacin y acreditacin se
encuentran refinados a un nivel de las mejores
prcticas, basados en una continua mejora y
refinamiento?
Los procesos de instalacin y acreditacin de TI
estn integrados en el ciclo de vida del sistema y
automatizados?
Se disponen de ambientes de prueba bien
desarrollados y los procesos de registro de
problemas y fallas aseguran una transicin de
eficiencia y efectividad hacia el ambiente de
5 produccin?
La acreditacin se da con una mnima necesidad
de reformularla y los problemas post-
implementacin son correcciones menores?
Las revisiones de post-implementacin son
estandarizadas y son retroalimentadas hacia los

procesos para asegurar una continua mejora en
cuanto a la calidad?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI5:
Control de adquisicin
Administracin de contratos con proveedores
Seleccin de proveedores
Adquisicin de recursos de TI36

para que el proceso AI5 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Se debe crear una conciencia organizacional de la necesidad de tener polticas y procedimientos
bsicos para la adquisicin de TI.
Las polticas y procedimientos de la empresa, se deben integrar parcialmente con el proceso
general de adquisicin de la organizacin del negocio.
Los distintos procesos de adquisicin se deben utilizar en proyectos menores y deben ser
bastante visibles para luego implementarlos en cada proyecto de la empresa.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos
de TI segn la experiencia de cada persona a cargo.
La empresa debe reconocer la importancia de administrar sus proveedores y las distintas
relaciones entre ellos.
36

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.6 Proceso AI6: Administrar cambios

Tabla 8: Modelos de madurez, Proceso AI6

Proceso: AI6 Administrar cambios
Existe un proceso definido de administracin de
0 cambio y estos cambios se pueden realizar
virtualmente sin control?
Existen polticas de administracin y control de

cambios tecnolgicos en la organizacin?
Se sigue algn proceso consistente a seguir para

el control de cambios tecnolgicos?
Cambia continuamente el proceso de cambios
1
tecnolgicos en la organizacin?
Se requiere de autorizacin superior para

ejecutar cambios de tecnologa?
Cundo un cambio de tecnologa se ejecuta en la

organizacin, es necesario documentar el mismo?
Existe un proceso formal definido para el
proceso de administracin y control de los
cambios?
De existir este proceso, est estructurado

formalmente?
2 Considera que la documentacin de

configuracin es precisa y consistente?
Considera que las tareas de planeamiento e

impacto son prioritarias a los cambios?
Existe frecuentemente un re-doble de trabajo, en
tareas ya efectuadas?
Existe un proceso formalmente definido para la
administracin de cambios?
El proceso de administracin de cambios incluye

priorizacin, categorizacin, control de

contingencias, autorizacin de cambios y
administracin de lanzamientos?
3 Considera que el proceso de administracin de

cambios es siempre prctico y aplicable?
Ocurren cambios sin autorizacin

ocasionalmente?
Existe un anlisis operacional del impacto que

Celular: (593-9) 1699699 Celular: (593)99 922000
causan los cambios tecnologa en el negocio?

Se sigue de forma consistente el proceso de
administracin de cambios, confa que en el
mismo no hay excepciones?
El proceso de administracin de cambios
mantiene procesos y controles manuales para
asegurar calidad?
Estn sujetos los cambios a reducir la
4 posibilidad de problemas post-produccin, a
travs de las tareas de planificacin e impacto?
Considera que las tareas planeamiento e impacto

son prioritarias a los cambios?
El monitoreo de cambios es un proceso formal
dentro de los documentos de administracin de

cambios?
Se actualiza regularmente el proceso de

El proceso de administracin de cambios cambia

de acuerdo a la lnea de las "mejores prcticas"?
La informacin de configuracin se encuentra
implementada en una aplicacin para controlar la
5 misma?
El monitoreo de la configuracin y de la
administracin de lanzamientos, incluye

herramientas para la deteccin de software sin
licencia o sin autorizacin?
La administracin de cambios tecnolgicos est

integrada a los cambios del negocio?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI6:
Estndares y procedimientos para cambios
Evaluacin de impacto, priorizacin y autorizacin
Cambios de emergencia
Seguimiento y reporte del estatus de cambio
Cierre y documentacin del cambio37

para que el proceso AI6 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Se debe lograr que el proceso de administracin de cambio no sea un proceso informal para
evitar que el proceso no sea estructurado, rudimentario y propenso a errores.
Se debe hacer que la exactitud de la documentacin de la configuracin sea consistente y no sea
de planeacin limitada.
La evolucin del impacto de los cambios de TI se debe dar previamente al cambio.
2.3.2.7 Proceso DS1: Definir y administrar niveles de servicio

Tabla 9: Modelos de madurez, Proceso DS1
Dominio: Entrega y Soporte

Proceso: DS1 Definir y administrar niveles de servicio
La administracin ha reconocido la necesidad de

un proceso para definir niveles de servicio?
Estn asignados responsables cuando existen

0 problemas en los procesos?
Estn asignadas las responsabilidades para la

administracin de servicios?
Estn definidos los niveles de servicio?
37

Celular: (593-9) 1699699 Celular: (593)99 922000
La administracin conoce sobre las obligaciones

y responsabilidades que tiene en cuanto a niveles
de servicio?
Existe conciencia de la necesidad de administrar

niveles de servicio?
El proceso para la administracin de Niveles de

Servicio es informal?
1 Est definida informalmente la rendicin de

cuentas del desempeo de monitoreo?
Las mediciones del desempeo son cualitativas?
El reporte del desempeo es frecuente?
Existen acuerdos celebrados sobre el nivel de

servicio?
El reporte de nivel de servicio es relevante y

completo?
El reporte de nivel de servicio depende de las
2 habilidades de los administradores individuales?
Se debera nombrar un coordinador de nivel de

servicio?
El proceso de cumplimiento del acuerdo de nivel
de servicio es voluntario?
Estn bien definidas las responsabilidades de la

administracin de nivel de servicio?
El proceso de desarrollo de los acuerdos de nivel
de servicio est establecido con puntos de
verificacin?
3 Estn definidos con los usuarios los criterios de

niveles de servicios?
Estn identificadas las carencias de nivel de

servicio?
El nivel de servicio puede resolver las

necesidades especficas de la organizacin?
La satisfaccin del cliente se determina de

manera rutinaria?
Las medidas de desempeo reflejan las metas de

TI?
4 Estn estandarizados los criterios de medicin

de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Estn entendidos con claridad los riesgos

operativos?
Los niveles de servicio son reevaluados
5
constantemente?

Celular: (593-9) 1699699 Celular: (593)99 922000
Todos los procesos de nivel de servicio estn

sujetos a procesos de mejoramiento?
Un criterio para definir niveles de servicio es

basarse en la criticidad del negocio?
Los niveles de satisfaccin del cliente son
monitoreados?

Los niveles de servicio esperados son evaluados

contra las normas de la industria?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS1:
Marco de trabajo de la administracin de los niveles de servicio
Definicin de servicios
Acuerdos de niveles de servicio
Acuerdos de niveles de operacin
Monitoreo y reporte del cumplimiento de los niveles de servicio
Revisin de los acuerdos de niveles de servicio y los contratos 38

para que el proceso DS1 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Debe existir la necesidad de administrar los niveles de servicio aun si el proceso sea informal y
reactivo.
Se debe definir la responsabilidad y la rendicin de cuentas sobre la definicin y la
administracin de servicios.
Se debe definir medidas para medir el desempeo, pero en este nivel de madurez aun se las
define de forma imprecisa.
Existe una notificacin pero aun es informal, infrecuente e inconsistente.
38

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.8 Proceso DS5: Garantizar la seguridad de los sistemas

Proceso: DS5 Garantizar la seguridad de los sistemas
La empresa reconoce la necesidad de seguridad

para el rea de TI?
Se asignan responsabilidades para encargarse de

la seguridad?
Existe la implementacin de medidas que
0
soporten la administracin de TI?
La empresa posee un proceso de administracin

para la seguridad de TI?
Existen procesos de reportes y soluciones para

problemas de seguridad en TI?
La empresa reconoce la necesidad de la

seguridad en TI?
La seguridad es administrada segn criterios del

individuo responsable?
Las responsabilidades para la administracin de
1
seguridad en TI son confusas?
Hay una persona responsable para la

administracin de problemas de seguridad?
Las soluciones para problemas de seguridad son

previsibles?
Las responsabilidades de seguridad de TI son
asignadas a un coordinador de seguridad sin
autoridad de gerencia?
El reporte de la seguridad es pertinente?
El conocimiento acerca de la seguridad es

2 fragmentado y limitado?
La informacin de la seguridad es generada pero

no analizada?
Las polticas de seguridad estn siendo
desarrolladas pero se utilizan tcnicas y
herramientas inadecuadas?
La Empresa promueve el conocimiento acerca

de la seguridad?
Los informes de la seguridad se han formalizado
3
y se han estandarizado?
Los procesos de seguridad de TI estn definidos

y es complemento de la estructura de polticas y

Celular: (593-9) 1699699 Celular: (593)99 922000
procedimientos de seguridad?
Las responsabilidades para la seguridad de TI
son asignadas pero no consistentemente
cumplidas?
Existe un plan de seguridad conduciendo a

anlisis de riesgo y soluciones de seguridad?
son claramente asignadas, administradas y
ejecutadas?
Las polticas y prcticas de seguridad son

completas, con especficas y bases de seguridad?
Los informes sobre la seguridad de TI se han
4
convertido en una obligacin?
La Empresa establece la certificacin de

seguridad en el personal?
Los procesos de la seguridad de TI son
coordinados con la funcin global de seguridad
de la empresa?
Los requerimientos de seguridad de TI estn
claramente definidos, optimizados e incluidos en
el plan de seguridad?
Los incidentes de seguridad de TI son tratados
puntualmente con los procedimientos

formalizados soportados por herramientas
automatizadas?
5 Los procesos de seguridad y tecnologas estn

integrados totalmente a la empresa?
Las funciones de seguridad se integran con las

aplicaciones en la etapa de diseo?
Las pruebas de intrusin, anlisis de causalidad
y la identificacin de riesgos no estn
perfectamente implementadas?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos39

para que el proceso DS5 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Las responsabilidades y la rendicin de cuentas sobre la seguridad se deben asignar a un
coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad del coordinador es
limitada.
Se debe analizar la informacin que producen los sistemas relevantes al aspecto de seguridad.
En este nivel de madurez se empieza a desarrollar las polticas de seguridad.
Se debe ver a la seguridad de TI primordialmente como responsabilidad y disciplina de TI.
39

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.9 Proceso DS10: Administrar los datos


Proceso: DS10 Administrar los datos
Hay conciencia de la necesidad de administrar

problemas e incidentes?
El proceso de resolucin de problemas es

informal?
0 Los usuarios y el personal de TI resuelven los

problemas de manera individual?
Los problemas se resuelven caso por caso?
Existen procesos para el manejo de incidentes?
La organizacin ha reconocido que hay una
necesidad de resolver problemas y de evaluar los
incidentes?
Las personas con conocimientos clave proveen
alguna asistencia con los problemas relacionados
con su rea de experiencia y responsabilidad?
La informacin es compartida con otros y las
soluciones varan de una persona de soporte a
1 otra?
Con medidas equivocadas se da la creacin de
ms problemas y la prdida de tiempo productivo,
mientras se buscan las respuestas?
La administracin cambia frecuentemente el
enfoque y la direccin de las operaciones y el
personal de soporte tcnico?
Hay una amplia conciencia de la necesidad de

administrar los problemas e incidentes
relacionados con TI?
El proceso de resolucin ha evolucionado hasta
un grado en que unas pocas personas claves son

responsables de administrar los problemas e
2 incidentes que ocurren?
La informacin es compartida entre el personal;
sin embargo, el proceso sigue sin estructuracin,
es informal y mayormente reactivo?
El nivel de servicio para la comunidad de

usuarios vara y es obstaculizado por insuficientes

Celular: (593-9) 1699699 Celular: (593)99 922000
conocimientos estructurados disponibles para

quienes resuelven los problemas?
El reporte de la administracin de incidentes y el
anlisis de la creacin de problemas es limitado e
informal?
La necesidad de un sistema efectivo de

administracin de problemas es aceptada y

evidenciada por presupuestos para la contratacin
de personal?
Los procesos de resolucin, escalamiento y
resolucin de problemas han sido estandarizados,
pero no son sofisticados?
Los usuarios han recibido comunicaciones claras
3 sobre dnde y cmo reportar sobre problemas e
incidentes?
El registro y rastreo de problemas y sus
resoluciones es fragmentado dentro del equipo de
respuestas, usando las herramientas disponibles
sin centralizacin o anlisis?
Es probable que las desviaciones de las normas

o estndares establecidos pasen desapercibidas?
El proceso de administracin de problemas es
entendido en todos los niveles dentro de la
organizacin?
Las responsabilidades son claras y establecidas?
Los mtodos y procedimientos estn
documentados, comunicados y medidos por
4 efectividad?
La mayora de los problemas e incidentes estn
identificados, registrados, reportados y analizados

en busca de constante mejoramiento y son
reportados a las partes interesadas?
La capacidad de responder a los incidentes es

probada peridicamente?
El proceso de administracin de problemas ha
evolucionado en un proceso que mira hacia

adelante y es proactivo, contribuyendo a los
objetivos de TI?
5 Los problemas son anticipados y pueden incluso

ser prevenidos?
El conocimiento es mantenido, a travs de
contactos regulares con vendedores y expertos,
respecto de patrones de problemas e incidentes

Celular: (593-9) 1699699 Celular: (593)99 922000
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de

advertencia, que son constantemente rastreados y
evaluados?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos40

para que el proceso DS10 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo
Asignar un responsable para que monitoree los problemas.
Establecer procesos estructurados y formales para el escalamiento y resolucin de problemas.
Contar con suficientes pistas de auditora de problemas y soluciones, los cuales estn integrados
con la administracin de datos de configuracin, permitiendo la oportuna resolucin de los
problemas reportados.
Generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados.
Emplear mecanismos automticos de advertencia y deteccin, para su evaluacin continua.
Disponer de informacin de los problemas pasados y futuros, para optimizar la solucin de
problemas internos de la empresa.
40

Celular: (593-9) 1699699 Celular: (593)99 922000
2.3.2.10 Proceso ME1: Monitorear el desempeo de TI

Tabla 12: Modelos de madurez, Proceso ME1
Dominio: Monitoreo y Evaluacin

Proceso: ME1 Monitorear el desempeo de TI
La organizacin cuenta con un proceso de

monitoreo?
El rea de TI desarrolla independientemente un
0
monitoreo de proyectos o procesos?
Se reconoce la necesidad de objetivos de

procesos claramente entendibles?
Se reconoce la necesidad de colectar y
determinar informacin acerca de procesos de
monitoreo?
Se han identificado procesos determinados y una

coleccin estndar?
Se implementa un monitoreo constante
solamente cuando un incidente causa alguna
1 perdida a la organizacin?
Se implementa el monitoreo para los procesos de
TI y tan solo para servicios de informacin de
otros departamentos?
La definicin del proceso y el monitoreo se
ajustan a las necesidades de los servicios de
informacin?
Han sido identificadas algunos parmetros para
monitorear?
Se ha adoptado una coleccin de mtodos y

tcnicas, pero no por toda la organizacin?
La planeacin y administracin es realizada por

2 la experiencia de individuos claves?
Algunas herramientas son implementadas y
usadas pero se limita el uso por falta de
experiencia en el manejo?
La funcin de servicios de informacin es
manejada como un centro que genera costos y no
beneficia a la organizacin?
La administracin ha institucionalizado y
comunicado los estndares para monitorear
3 procesos?
Un programa de educacin y entrenamiento para

monitorear ha sido implementado?

Celular: (593-9) 1699699 Celular: (593)99 922000
Han sido implementadas herramientas para

monitorear el nivel de servicio y procesos de TI?
Han sido definidos parmetros para medir la
contribucin del nivel de servicio en la
organizacin?
Han sido implementados los parmetros para
medir la satisfaccin del cliente y del nivel de
servicio en las entidades?
La gerencia define tolerancias en las cuales los

procesos deben operar?
Lineamientos base de resultados de monitoreo

son estandarizados y normalizados?
Existe integracin de las mtricas entre

proyectos TI y procesos?
4 Se define un marco para identificar estrategias
orientadas a procesos como KGIs, KPIs, y CSFs
para realizar mediciones?
Se ejecutan criterios de aprendizaje tales como
financieros, operacionales, de consumidores y
organizacional?
Se mejora el proceso para actualizar el
monitoreo de estndares, polticas y mejores
prcticas en la organizacin?
Todos los procesos de monitoreo son
optimizados y soportan objetivos globales de la
organizacin?
KGIs, KPIs, y CSFs son usados continuamente
5 para realizar mediciones y se alinean con el
trabajo estratgico?
Procesos de monitoreo y rediseos en
movimiento son consistentes con planes ya
desarrollados de mejoramiento?
Bancos de prueba contra la industria y

competidores claves se formalizan y comparan?
espaol

Celular: (593-9) 1699699 Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME1:
Enfoque del monitoreo
Definicin y recoleccin de datos de monitoreo
Mtodo de monitoreo
Evaluacin del desempeo
Reportes al Consejo Directivo y a Ejecutivos
Acciones correctivas41

para que el proceso ME1 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Implementar un proceso de monitoreo y evaluacin de desempeo de TI
La empresa debe contar con reportes tiles, oportunos y precisos.
Se debe definir estndares de recoleccin y evaluacin de acuerdo a las necesidades de los
proyectos y procesos especficos de TI.
Definir reportes e indicadores de desempeo.
Realizar evaluaciones de satisfaccin al usuario, para tener un mejoramiento continuo del
servicio brindado.
Estandarizar y normalizar el proceso de reportes.
2.3.2.11 Proceso ME2: Monitorear y evaluar el control interno

Tabla 13: Modelos de madurez, Proceso ME2

Proceso: ME2 Monitorear y evaluar el control interno de TI
La organizacin posee procedimientos para
0 monitorear la efectividad de los controles
internos?
41

Celular: (593-9) 1699699 Celular: (593)99 922000
Los mtodos de reporte de control interno de

administracin estn presentes en su
organizacin?
Hay una ausencia general de conciencia de la

seguridad operativa?
La administracin y los empleados tienen

conciencia de los controles internos?
Hay una ausencia general del aseguramiento de

control interno de TI?
Existe un compromiso de parte de la
administracin para la seguridad operativa
regular?
Se aplica ad hoc en la experiencia individual en

determinar la adecuacin de control interno?
La administracin de TI ha asignado
1 formalmente la responsabilidad de monitorear la
efectividad de los controles Internos?
Las evaluaciones de control interno de TI son
realizadas como parte de auditoras financieras
tradicionales?
Existe un monitoreo adecuado dentro de la

empresa?
La organizacin usa reportes informales de
control para iniciar iniciativas de accin
correctiva?
Los procesos de planificacin y administracin

estn definidos?
2 La evaluacin depende de los conjuntos de

habilidades de las personas clave?
La organizacin tiene una mayor conciencia del

monitoreo de control interno?
La administracin ha comenzado a establecer

mtricas bsicas?
La administracin soporta y ha
institucionalizado un monitoreo de control
interno?
Se han desarrollado polticas y procedimientos
para evaluar y reportar sobre las actividades de
control interno?
3 No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?

Celular: (593-9) 1699699 Celular: (593)99 922000
Se han establecidos revisiones peridicas para el

monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
revisin del control interno?
La organizacin estableci niveles de tolerancia

para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
4 cada vez ms automatizadas en los procesos de
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control

interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que

son integradas y actualizadas?
Est formalizada la participacin de los

5 conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?
espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME2:
Monitorizacin del marco de trabajo de Control Interno
Revisiones de Auditora
Excepciones de control
Control de auto evaluacin
Aseguramiento del Control Interno
Control Interno para terceros
Acciones correctivas42
42

Celular: (593-9) 1699699 Celular: (593)99 922000

para que el proceso ME2 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Implementar procedimientos para monitorear la efectividad de los controles internos.
Asignar de manera formal las tareas para monitorear la efectividad de los controles internos y
evaluarlos en base a la necesidad de los servicios de informacin.
Establecer responsabilidades para el control interno.
Realizar monitoreo permanente de control interno.
Establecer programas de mejora continua dentro de la empresa.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.4 Anlisis de Resultados
2.4.1 Resultados del anlisis realizado con Cobit 4.1

En base a las Matrices de Madurez aplicadas a los procesos seleccionados de Cobit 4.1 se ha
encontrado lo siguiente:
2.4.1.1 Dominio Planeacin y Organizacin

Nivel de Madurez: Uno
Conclusiones:
Es necesario implementar un plan estratgico, en el que se defina un proceso que permita
identificar y realizar actualizaciones del mismo. Se debe implementar una poltica de cmo y
cundo se va a realizar la planeacin estratgica de TI, la que debe ser conocida por todo el
equipo de trabajo y se debe garantizar que sea el plan que se realice sea factible y estructurado.
La planeacin estratgica debe ser discutida en reuniones con la Direccin y se debe contar con
tcnicas y estndares comunes para el desarrollo de la infraestructura tecnolgica. La estrategia
general de TI, debe incluir una definicin de los riesgos a los que est expuesta la organizacin.
Es importante que se difunda la necesidad de la planeacin tecnolgica para que exista un
enfoque en generar soluciones a problemas tcnicos que permitan satisfacer las necesidades del
negocio Los riesgos de TI relacionados al da a da a las diferentes operaciones de TI, deben ser
discutidos siempre en las reuniones con la Gerencia General; adems debe existir un enfoque de
evolucin de riesgos en desarrollo y debe ser implementado en discrecin del gerente de TI. El
personal encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin
tecnolgica, a travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un
entrenamiento formal. Debe tambin existir comunicacin de los roles de todos los empleados y
sus responsabilidades, especialmente de los empleados de la unidad de TI, quienes deben tener
roles formalizados, los cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la
unidad de TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento
y las habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para

Celular: (593-9) 1699699 Celular: (593)99 922000
administrar la organizacin de TI y sus relaciones con los dems departamentos, adems debe
haber un deseo emergente del personal de entender que los riesgos de TI son importantes y
necesarios y deben ser siempre considerados.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.4.1.2 Dominio Adquisicin e Implementacin

Conclusiones:
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados
parcialmente con el proceso general de adquisicin de la organizacin del negocio, los que deben
ser utilizados en proyectos menores y deben ser usados como base para luego implementarlos en
cada proyecto que maneje la empresa. Se debe lograr que el proceso de administracin de
cambio no sea un proceso informal para evitar que el proceso no sea estructurado, rudimentario y
propenso a errores, la empresa debe reconocer la importancia de administrar sus proveedores y
las distintas relaciones entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos
de TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.

Celular: (593-9) 1699699 Celular: (593)99 922000
2.4.1.3 Dominio Entrega y Soporte

Conclusiones:
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad
de administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin
y administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las
que se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la
autoridad del coordinador es limitada. Se deben definir medidas para medir el desempeo, para
poder analizar la informacin que producen los sistemas relevantes al aspecto de seguridad. La
seguridad del departamento de TI se debe ver primordialmente como una responsabilidad y
disciplina del rea de TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear
mecanismos automticos de advertencia y deteccin, para su evaluacin continua, se debe
contar con suficientes pistas de auditora de problemas y soluciones, los cuales deben ser
integrados con la administracin de datos de configuracin, permitiendo de esta manera, la
oportuna resolucin de los problemas reportados, tambin hay que contar con informacin de los
problemas pasados que ha enfrentado la empresa y posibles problemas futuros, para optimizar la
solucin de problemas internos de la organizacin.
2.4.1.4 Dominio Monitoreo y Evaluacin

Nivel de Madurez: Cero
Conclusiones:
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo

Celular: (593-9) 1699699 Celular: (593)99 922000
de los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al
usuario, a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente
de control interno y asignar de manera formal las tareas para monitorear la efectividad de los
controles internos y evaluarlos en base a la necesidad de los servicios de informacin.

Celular: (593-9) 1699699 Celular: (593)99 922000
CAPITULO TRES
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA
3.1 Identificacin de los Riesgos Informticos
Para realizar correctamente la evaluacin OCTAVE-S dentro de la empresa Pirmide Digital Ca.
Ltda. es necesario definir un equipo de trabajo interdisciplinario, el que ser responsable de llevar a
cabo varias actividades, se debe contar con personal del rea de Altos Directivos, rea Operativa y
rea de Personal en General; esto ayudar a tener una perspectiva ms amplia de la empresa a nivel
tecnolgico y organizacional.
3.1.1 Roles y Responsabilidades del Equipo de Anlisis

Trabajar con los directivos para definir el alcance de la evaluacin.
Programacin de actividades OCTAVE-S.
Realizacin de las actividades de evaluacin.
Recopilar, analizar y mantener los datos de evaluacin durante la evaluacin.
Logstica de coordinacin para la evaluacin. 43
3.1.2 Habilidades del Equipo de Anlisis

Capacidad para gestionar las reuniones de grupo.
Buenas habilidades de comunicacin.
Buenas habilidades analticas.
Conocimiento del entorno de negocio de la organizacin.
Conocimiento del entorno de la organizacin de tecnologa de la informacin y la forma en que el
personal de las empresas legtimamente utiliza la tecnologa de la informacin en la organizacin. 44
43
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 8
44

Celular: (593-9) 1699699 Celular: (593)99 922000
3.1.3 Seleccin de Altos Directivos

Los Altos Directivos que se van a seleccionar para la evaluacin, deben tener la capacidad y
conocimientos necesarios para identificar correctamente los activos de informacin ms importantes
dentro de la empresa, las distintas amenazas para estos activos, los requerimientos de seguridad de
cada activo, las estrategias de proteccin con las que cuenta la empresa y las vulnerabilidades
organizacionales.
3.1.3.1 Perfil de Altos Directivos

Estar familiarizado con los tipos de activos de informacin utilizados en la empresa.
Ser capaz de destinar el tiempo requerido para las evaluaciones.
Tener conocimiento de los procesos clave que maneja la empresa para la ejecucin normal de sus
actividades y tareas.
Tener autoridad de seleccionar y autorizar el tiempo para los Directivos de reas operativas.
Haber estado en su cargo por lo menos un ao.45
3.1.4 Seleccin de los Directivos de reas Operativas

Los Directivos de reas Operativas deben estar asociados a la operacin, mantenimiento y
desarrollo de la infraestructura computacional de la organizacin; son requeridos para identificar los
activos de informacin que posee la empresa, las distintas amenazas para estos activos, los
requerimientos de seguridad de cada activo, las estrategias de proteccin con las que cuenta la
empresa y las vulnerabilidades organizacionales.
3.1.4.1 Perfil de los Directivos de reas Operativas

Amplio conocimiento con los tipos de activos de informacin que utiliza la empresa.
Conocer cmo los activos de informacin son utilizados.
Conocimiento de los activos crticos de la organizacin.
Tener la autoridad de seleccionar y autorizar el tiempo necesario para el personal en general.
Haber estado en su cargo por lo menos dos aos. 46
3.1.5 Seleccin del Personal en General

Se necesita con personal que se encargue de identificar los activos de informacin que se consideren
importantes para la organizacin, las distintas amenazas para estos activos, los requerimientos de
45
46

Celular: (593-9) 1699699 Celular: (593)99 922000
seguridad de cada activo, las estrategias de proteccin con las que cuenta la empresa y las
vulnerabilidades organizacionales.
3.1.5.1 Perfil del Personal en General

Conocer los tipos de activos de informacin usados en la organizacin y cmo son utilizados.
Conocimiento respecto al tema de riesgo e impacto hacia los activos crticos de las tecnologas de
informacin.
Conocimiento de estndares de mitigacin, medicin y controles de riesgo asociados a TI.
Haber estado en su cargo por lo menos tres aos. 47
3.1.6 Seleccin del Equipo de Trabajo para la empresa Pirmide

Digital Ca. Ltda.
Una vez realizada la seleccin entre el personal ms idneo para que forme parte del equipo de
trabajo que realizar la evaluacin en la organizacin, se han seleccionado a los siguientes
profesionales:
3.1.6.1 Altos Directivos

Ing. Mario Morillo Gerente de Tecnologa
3.1.6.2 Directivos de reas Operativas

Eco. Olga Obando Gerente de Consultora
3.1.6.3 Personal en General

Sr. Guillermo Obando Asistente de Tecnologa
3.2 Fase Uno: Construccin del perfil de amenaza basado en los activos
En esta fase, se realiza una evaluacin de los aspectos organizacionales donde el equipo de trabajo
define el impacto de los criterios de la evaluacin que se utilizar para realizar una evaluacin de
riesgos, tambin se identificarn cuales son los activos organizacionales y se evaluarn las prcticas
de seguridad que se practican actualmente en la empresa.
En esta fase, se identifican dos procesos:
Figura 8: Mtodo Octave-S, Fase Uno
47

Celular: (593-9) 1699699 Celular: (593)99 922000
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
3.2.1 Proceso S1: Identificar la informacin organizacional
3.2.1.1 Establecer el impacto de los criterios de la evaluacin

Tabla 14: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Reputacin y Confianza del Cliente
Reputacin/Confianza del Cliente

Tipo de Impacto Bajo Impacto Mediano Impacto Alto Impacto
Reputacin La reputacin de la La reputacin de la La reputacin de la
empresa se afecta en empresa se daa, y empresa est
un mnimo porcentaje, esfuerzo y un poco irremediablemente
poco o nada de de gasto destruida o daada.
esfuerzo o gasto es econmico se
necesario para requiere para
recuperarse si se recuperarse.
presenta la situacin de
prdida de confianza
del cliente.

Celular: (593-9) 1699699 Celular: (593)99 922000
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 34-35

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 15: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Finanzas
Finanzas
Costos operativos Aumento de menos de Gastos anuales de Anualmente los
2% anual en costos costos operativos costos operativos
operativos aumentan del 2% aumentan el 10%
al 10%
Prdida de Menos de 5% de De 5% al 12% de Mayor del 12% en

ingresos prdida de ingresos prdida de prdida de ingresos
anuales ingresos anuales anuales
Prdida financiera Prdida financiera de Prdida financiera Prdida financiera

menos de $5000 de $5000 a $15000 mayor a $15000
Otro:

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 16: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Productividad
Productividad
Horarios del El horario del personal El horario del El horario del
personal se increment menos personal se personal se
del 5% en 28 da(s) increment entre el increment en ms
5% al 20% en 28 de un 20% en 28
da(s) da(s)
Otro:
Otro:
Otro:

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 17: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Seguridad/Salud
Seguridad/Salud
Vida No hay prdida o La vida de los Prdida de vidas de
amenaza significativa miembros del miembros del
en la vida del personal personal se ven personal
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Salud Degradacin mnima, Discapacidad Deterioro
inmediatamente temporal o permanente de la
tratable de la salud de recuperable de la salud de miembros
los miembros del salud de del personal
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad Seguridad cuestionada Seguridad afectada Seguridad violada
Otro:
Tabla 18: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales
Multas/Sanciones Legales

Celular: (593-9) 1699699 Celular: (593)99 922000
Multas Multas inferiores Multas entre Multas mayores a

$1000 son recaudadas $1000 y $5000 $5000 son
son recaudadas recaudadas
Demandas Demandas no frvolas Demandas no Demandas no

de menos de $1000 son frvolas entre frvolas mayores a
presentadas en contra $1000 y $5000 son $5000 son
de la organizacin presentadas en presentadas en
contra de la contra de la
organizacin organizacin
Investigaciones No hay preguntas El gobierno u otras El gobierno u otras
formuladas por el organizaciones de organizaciones de
gobierno u otras investigacin investigacin inician
organizaciones de requieren una investigacin de
investigacin informacin o alto perfil y en
records de la profundidad de las
empresa prcticas de la
organizacin
Otro:
Mediante el uso de las Hojas de Trabajo: Impacto de los criterios de la evaluacin, se defini los
rangos de posibles impactos que se pueden presentar en la organizacin.
Se cuenta con suficiente informacin sobre la naturaleza de impactos causados por problemas
comunes y situaciones de emergencia, y utiliz esta informacin como base para el establecimiento
de medidas (alto, medio, bajo) a travs de mltiples reas de impacto.
Pirmide Digital Ca. Ltda. cuenta con un presupuesto el cual incluye un margen del 2% para
cambios inesperados en los costos de operacin y un margen del 5% para cambios inesperados en los
ingresos totales.
Se determin que cualquier prdida de vida o daos permanentes a los empleados en las
instalaciones de la organizacin se considera inaceptable. Estos artculos se incorporaron en los
criterios de evaluacin.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.2.1.2 Identificar activos organizacionales

Tabla 19: Hoja de Trabajo. Identificacin de activos organizacionales: Informacin, Sistemas y
Aplicaciones
Informacin, Sistemas y Aplicaciones

Sistema Informacin Aplicaciones y Otros Activos
Servicios
Qu sistemas la gente Qu informacin la gente en Qu aplicaciones y Qu otros activos estn
en su organizacin su organizacin necesita para servicios la gente en su relacionados directamente con
necesita para realizar su realizar su trabajo? organizacin necesita para estos activos?
trabajo? realizar su trabajo?
Computadoras Propuestas email Perifricos

personales
Pagos SugarCRM
Presupuestos Real VNC
Acceso a Internet
Servidor de Informacin de Acceso a Internet Computadoras

correo
correos personales
electrnico
Informacin de
clientes
Servidor Web Informacin de la Acceso a Internet Computadoras
(Portal de
Gerencia) empresa personales
Informacin de
cursos gerenciales
Informacin de
clientes
Presentaciones,
Videos,
Documentos
Gerenciales

Celular: (593-9) 1699699 Celular: (593)99 922000
SugarCRM Automatizacin Acceso a Internet Computadoras

de fuerza de personales
ventas
Campaas de
marketing
Atencin al
cliente
Presentacin de
informes
Real VNC Acceso y control a Acceso a Internet Computadoras
servidores personales
Tabla 20: Hoja de Trabajo. Identificacin de activos organizacionales: Gente
Gente
Gente Habilidades y Sistemas Activos
Conocimiento Relacionados Relacionados
Qu personas tienen una Cules son sus Qu sistemas utilizan estas
habilidad o conocimiento habilidades o personas? Qu otros activos usan
especial que es vital para su conocimientos? estas personas (Ejemplo:
organizacin y puede ser informacin, servicios o
muy difcil de reemplazar? aplicaciones)

Celular: (593-9) 1699699 Celular: (593)99 922000
Ing. Pablo Pez, PhD Conocimiento Computadora

del personal
funcionamiento SugarCRM
de los sistemas Portal de
de la empresa. Gerencia
Contacto con
clientes
importantes.
Representante
de partners en
el Ecuador.
Elaboracin de
propuestas.
Trainer de la
mayora de los
cursos que
ofrece la
empresa.
Negociacin
con clientes.
Eco. Olga Obando, Conocimiento Computadora
PhD
del portafolio personal.
de servicios que SugarCRM.
ofrece Pirmide Portal de
Digital. Gerencia
Facilidad para
identificar las
necesidades
especificas del
cliente y

Celular: (593-9) 1699699 Celular: (593)99 922000
proponer
soluciones a
travs de los
distintos
servicios que
ofrece la
empresa.
Elaboracin,
presentacin y
discusin de
propuestas.
Anlisis costo-
beneficio de las
propuestas.
Negociacin
con los clientes.
Coordinacin
del equipo de
consultores en
los trabajos de
campo.
Coordinacin y
direccin del
personal.
Directora de
proyectos de la
empresa.
Ing. Mario Murillo Conocimiento Computadora
de redes. personal
Conocimiento SugarCRM.

Celular: (593-9) 1699699 Celular: (593)99 922000
de bases de Servidor web

datos. Servidor de
Manejo de correo
SugarCRM.
Soporte,
actualizacin y
mantenimiento
de todos los
servidores
propios y
servidores
alojados en
Estados Unidos.

Celular: (593-9) 1699699 Celular: (593)99 922000
El equipo de trabajo utiliz su conocimiento de los sistemas que Pirmide Digital Ca. Ltda. como
punto de partida para identificar los activos de la empresa.
Al utilizar las Hojas de Trabajo: Identificacin de activos organizacionales, para identificar los
activos, los miembros del equipo observaron la cantidad de informacin que reside en los servidores
de Pirmide Digital. La informacin de sus clientes, que se regula en trminos de privacidad y
seguridad, se puede encontrar en varias formas, incluyendo tanto electrnico como archivos de
papel. Se observ que las computadoras personales son comunes a todos los sistemas y funcionan
como un conducto para toda la informacin electrnica importante.
Fue ms difcil identificar a las personas claves relacionadas con el patrimonio de la empresa, ya que
cada miembro del personal tiene un papel importante en Pirmide Digital sin embargo, se decidi
que slo las personas con habilidades especiales o conocimientos que no podan sustituirse
fcilmente se deben documentar como activos durante la evaluacin.
En el caso de Pirmide Digital se identific que la Eco. Olga Obando por tener conocimiento y
realizar la mayor parte de actividades relacionadas con el cliente, el manejo de relaciones,
elaboracin de propuestas y coordinacin del equipo de consultores es indispensable para las
operaciones del da a da.
De igual manera, tanto Pablo Pez PhD como el Ing. Mario Morillo tambin se identificaron como
personas importantes relacionados con los activos de la empresa y sera muy difcil encontrar y
contratar dos personas que asuman estas responsabilidades sin que afecte o interrumpa las
operaciones de Pirmide Digital.
3.2.1.3 Evaluar las prcticas de seguridad organizacionales

Tabla 21: Hoja de Trabajo. Prcticas de seguridad: Seguridad, Concientizacin y Entrenamiento
Seguridad, Concientizacin y Entrenamiento

Celular: (593-9) 1699699 Celular: (593)99 922000
Enunciado Hasta qu Qu Qu Qu tan

punto esta actualmente su actualmente su efectivamente
afirmacin se organizacin organizacin su
refleja en su est haciendo no est organizacin
organizacin? bien en esta haciendo bien est
rea? en esta rea? implementado
las prcticas
en esta rea?
Los miembros del Si Los Falta de Rojo

personal Algo Amarillo
miembros del capacitacin
comprendan sus No Verde
roles de seguridad No se sabe personal para el No aplica
y
responsabilidades. tienen tareas personal de
Esto est definidas. TI.
documentado y
verificado. Miembros Personal no
Hay suficiente Si del personal entiende
experiencia interna Algo
para todas las No siguen la todos los
versiones servicios, No se sabe buena riesgos de
mecanismos y
tecnologas. Esto prctica de seguridad.
est documentado no divulgar Poco
y verificado.
Existe una Si informacin conocimient
conciencia de Algo confidencial o de roles y
seguridad, No
capacitacin y No se sabe y definicin acciones de
recordatorios de seguridad.
peridicos, los que
se proporcionan contraseas. Personal
para todo el utiliza una
personal. El
entendimiento del sola
personal est contrasea
documentado y se
verifica para
peridicamente.

Celular: (593-9) 1699699 Celular: (593)99 922000
Los miembros del Si acceder a

personal siguen Algo
todas las
buenas prcticas No
como: No se sabe aplicaciones
Asegurar
No existe
informacin de
documentaci
la que son
n formal de
responsables
roles de
No divulgar
seguridad.
informacin
No hay
confidencial a
documentaci
otros
n de
Tener
servicios
capacidad mecanismos
suficiente para y tecnologa.
utilizar la
No hay roles
informacin
y
tecnologa de
responsabili
hardware y
dades
software
definidas.
Uso de buenas
prcticas para
definir
contraseas
Entender y
seguir las
polticas de
seguridad y los
reglamentos
Reconocer y
reportar
incidentes

Celular: (593-9) 1699699 Celular: (593)99 922000

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 22: Hoja de Trabajo. Prcticas de seguridad: Estrategia de Seguridad
Estrategia de Seguridad
afirmacin se organizacin organizacin no su
refleja en su est haciendo est haciendo organizacin
organizacin? bien en esta bien en esta est
rea? rea? implementado
las prcticas
en esta rea?
Las estrategias Si La actual Rojo

comerciales de la Algo Amarillo
estrategia de
organizacin No Verde
incorporan No se sabe seguridad de No aplica
consideraciones de
la empresa
seguridad.
Las estrategias y Si no es
polticas de Algo efectiva.
seguridad toman en No
cuenta las No se sabe
estrategias y La estrategia
objetivos del de seguridad
negocio de la
organizacin. no se
Las estrategias de Si encuentra
seguridad, metas y Algo
objetivos son No bien
documentados y se No se sabe documentada
revisan de forma
rutinaria, se lo y le falta
actualiza y se enfoque
comunica a todos.
empresarial.
No es
proactiva.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 23: Hoja de Trabajo. Prcticas de seguridad: Gestin de la Seguridad
Gestin de la Seguridad
las prcticas
en esta rea?
La Gerencia asigna Si El equipo y No hay Rojo

fondos y recursos Algo Amarillo
suficientes para No el personal fondos Verde
actividades de No se sabe estn de suficientes No aplica
informacin de
seguridad. acuerdo en en el
Los roles y Si que la presupuesto

responsabilidades Algo evaluacin para
de seguridad se No
definen para todo el No se sabe de riesgos es seguridad.
personal de la dar un paso Miembros
organizacin.
Todo el personal en Si en la del personal
todos los niveles de Algo direccin se
responsabilidad No
pone en prctica sus No se sabe correcta que encuentran
funciones beneficiar a satisfechos
asignadas.
Existen la con el nivel
procedimientos organizacin de
documentados para
la autorizacin y seguridad
supervisin de todo actual.
el personal
(incluido el No hay roles
personal definidos
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares

Celular: (593-9) 1699699 Celular: (593)99 922000
donde la
informacin reside.
Las prcticas de Si
contratacin y Algo
terminacin de No
personal en la No se sabe
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin Si
gestiona los riesgos Algo
de seguridad de la No
informacin: No se sabe
Evala los
riesgos para la
seguridad de la
informacin
Toma medidas
para mitigar
riesgos de
seguridad de la
informacin
Gerencia recibe y Si
acta sobre los Algo
informes de rutina No
relacionados con la No se sabe
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 24: Hoja de Trabajo. Prcticas de seguridad: Polticas de Seguridad y Regulaciones
Polticas de Seguridad y Regulaciones

punto esta actualmente su actualmente efectivamente
afirmacin se organizacin su su
refleja en su est haciendo organizacin organizacin
organizacin? bien en esta no est est
rea? haciendo bien implementado
en esta rea? las prcticas
en esta rea?
La organizacin Si Existe una No todo el Rojo

cuenta con un Algo Amarillo
prctica personal
amplio conjunto de No Verde
polticas actuales No se sabe establecida conoce No aplica
que peridicamente
cualquier sobre esta
son revisadas y
actualizacin. incidente. prctica.
Hay un Si
procedimiento Algo La gente no
documentado de No siempre
gestin de las No se sabe
polticas de sigue esta
seguridad, que prctica.
incluye:
Creacin La prctica
Administracin de
seguridad
(revisiones
no se
peridicas y
actualizaciones) revisa, no
est
Comunicacin
docuement
La organizacin Si
dispone de un Algo ada.
procedimiento No
documentado para No se sabe
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y

Celular: (593-9) 1699699 Celular: (593)99 922000
regulaciones
aplicables, y
requisitos de
seguro.
La organizacin Si
uniformemente Algo
refuerza sus No
polticas de No se sabe
seguridad.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 25: Hoja de Trabajo. Prcticas de seguridad: Plan de Contingencia/Recuperacin de Desastres
Plan de Contingencia/Recuperacin de Desastres

punto esta actualmente actualmente su efectivamente
afirmacin se su organizacin no su
refleja en su organizacin est haciendo organizacin
organizacin? est haciendo bien en esta est
bien en esta rea? implementado
rea? las prcticas
en esta rea?
Se ha realizado un Si No existe un Rojo

anlisis de las Algo Naranja
plan de
operaciones, las No Verde
aplicaciones y los No se sabe recuperacin No aplica
datos crticos.
ante desastres
La organizacin ha Si naturales o
documentado, Algo emergencia
revisado y probado: No
Planes de No se sabe No existe plan
continuidad del de
negocio y de continuidad
operacin en del negocio.
caso de No hay un
emergencia plan de
Plan de recuperacin
recuperacin de para sistemas
desastres (s) o redes.
Los planes de Si
contingencia, Algo
recuperacin de No
desastres y de No se sabe
negocios
consideran la
continuidad fsica y
electrnica y los

Celular: (593-9) 1699699 Celular: (593)99 922000
requisitos de
acceso y controles.
Todo el personal: Si
Esta consciente Algo
No
de los planes de No se sabe
recuperacin de
desastres
imprevistos y
continuidad del
negocio.
Comprende y
es capaz de
realizar sus
responsabilidad
es.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 26: Hoja de Trabajo. Prcticas de seguridad: Control de Acceso Fsico
Control de Acceso Fsico

rea? las prcticas
en esta rea?
Si alguien del Si Existe una La seguridad Rojo

personal est Algo Naranja
poltica de fsica se ve
encargado de esta No Verde
rea: No se sabe manejo de afectada No aplica
Planes de seguridad
visitantes, debido a que
de las instalaciones
y procedimientos pero no es en ocasiones
para salvaguardar
propia de se comparten
las instalaciones,
edificios y la empresa, laptops, se
cualquier zona
sino conocen
restringida y estn
documentados y establecida contraseas
probados.
por el de la otra
Hay polticas y Si
procedimientos Algo edificio persona y se
documentados para No
donde se comparte el
la gestin de los No se sabe
visitantes. encuentra espacio en la
Hay polticas y Si las oficinas oficina.
procedimientos Algo
de la
controlar el acceso No se sabe empresa en
fsico a las reas de
Quito.
trabajo y hardware
(ordenadores, Para el
dispositivos de
acceso a la
comunicacin, etc.)
y soporte de sala de
software.

Celular: (593-9) 1699699 Celular: (593)99 922000
Las estaciones de Si servidores

trabajo y otros Algo
se requiere
componentes que No
permiten acceso a No se sabe de una
informacin
tarjeta
sensible estn
fsicamente magntica.
salvaguardados
Todos los
para prevenir el
acceso no equipos de
autorizado.
la oficina
necesitan
de una
clave de
acceso.
Estaciones
de trabajo y
servidores
estn
fsicamente
salvaguard
ados.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 27: Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red
Gestin del Sistema y la Red

las prcticas
en esta rea?
Si alguien del Si Se realizan No existe un Rojo

cambios de plan
rea: No se sabe contrasea documentad No aplica
Existen planes de
para todos o de
seguridad para
salvaguardar el los usuarios seguridad.
sistema y las redes.
cada seis No todos los
La informacin Si
confidencial est Algo meses. sistemas
protegida en un No
almacenamiento No se sabe Acceso a estn
seguro (por servidores y actualizados
ejemplo, copias de
seguridad sistemas No hay
almacenadas en estn planes de
otro sitio).
La integridad del Si protegidos control de
software instalado Algo con hardware y
es regularmente No
verificada. No se sabe contraseas software
Existen planeados
Todos los sistemas Si copias de No hay
estn actualizados a Algo
la fecha de acuerdo No seguridad. procedimien
con revisiones, No se sabe Se da tos formales
parches y
recomendaciones mantenimien para cambio
de seguridad.

Celular: (593-9) 1699699 Celular: (593)99 922000
Existe un plan Si to a de
documentado y Algo
hardware y contraseas
comprobado para la No
copia de seguridad No se sabe software una o manejo de
de los datos de
vez cada usuarios.
software. Todo el
personal entiende ao.
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios Si
de hardware y Algo
software son No
planeados, No se sabe
controlados y
documentados.
Los miembros del Si
rea de TI siguen Algo
procedimientos No
para cambiar y dar No se sabe
de baja
contraseas,
cuentas y
privilegios.
Solo los servicios Si
necesarios estn Algo
corriendo en los No
sistemas, todos los No se sabe
servicios que no
son necesarios han
sido eliminados.
Herramientas y Si
mecanismos para el Algo
sistema de No
seguridad y No se sabe
administracin de
la red que se
utilizan, se revisan
de manera
rutinaria, se
actualizan o
reemplazan.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 28: Hoja de Trabajo. Prcticas de seguridad: Monitoreo y Auditora de la Seguridad de TI
Monitoreo y Auditora de la Seguridad de TI

en esta rea?
Si alguien del Si Se realizan No se Rojo

monitoreos reporta
rea: No se sabe del sistema. actividad No aplica
Sistema y red de
monitoreo y Se monitorea inusual.
herramientas de el servidor de No hay
auditora son
habitualmente seguridad polticas
utilizados por la regularmente definidas.
organizacin.
Actividades
inusuales se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.
Componentes del Si
Firewall y otros Algo
componentes de No
seguridad son No se sabe
auditados
peridicamente
para revisar el
cumplimiento de
polticas.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 29: Hoja de Trabajo. Prcticas de seguridad: Manejo de la Vulnerabilidad
Manejo de la Vulnerabilidad
organizacin? est haciendo bien en esta rea? est
bien en esta implementado
rea? las prcticas
en esta rea?
Si alguien del Si No hay Rojo

encargado de esta No procedimientos Verde
rea: No se sabe definidos para No aplica
Hay un conjunto
de procedimientos poder manejar
documentados la
para
manejo de vulnerabilidad
vulnerabilidades, en la
para:
organizacin.
Seleccion
ar las
herramientas
de evaluacin
de
vulnerabilidad,
listas de
control y
secuencias de
comandos
Mantener
se al da con la
vulnerabilidad
conocida, tipos

Celular: (593-9) 1699699 Celular: (593)99 922000
y mtodos de
ataque
Revisar
las fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas de
seguridad y
comunicacin
Identifica
cin de los
componentes
de
infraestructura
a ser evaluado
Programa
r evaluaciones
de
vulnerabilidad
Interpreta
r y responder a
los resultados
Mantener
un
almacenamient
o seguro y la
disposicin de
datos
vulnerables

Celular: (593-9) 1699699 Celular: (593)99 922000
Se siguen Si
procedimientos de Algo
gestin de No
vulnerabilidades No se sabe
los que son
peridicamente
revisados y
actualizados.
Evaluaciones de Si
tecnologa Algo
vulnerable se No
realizan en forma No se sabe
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 30: Hoja de Trabajo. Prcticas de seguridad: Encriptacin
Encriptacin
rea? las prcticas
en esta rea?
Si alguien del Si Se maneja No se protege Rojo

No una red informacin el Verde
encargado de esta
rea: No se sabe privada momento de No aplica
Controles
virtual. enviarla va
apropiados de
correo
seguridad se
electrnico
utilizan para
mediante
proteger
encriptacin.
informacin
Nunca se ha
sensible
discutido
durante el
proteger
almacenamient
informacin
o y durante la
mediante
transmisin
encriptacin.
(por ejemplo,
el cifrado de
datos,
infraestructura
de clave
pblica,
tecnologa de
red privada

Celular: (593-9) 1699699 Celular: (593)99 922000
virtual).
Se utilizan Si
protocolos de Algo
cifrado cuando se No
maneja sistemas, No se sabe
routers y firewalls
a distancia.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 31: Hoja de Trabajo. Prcticas de seguridad: Seguridad de Diseo y Arquitectura
Seguridad de Diseo y Arquitectura

las prcticas
en esta rea?
Si alguien del Si Existe el No se ha Rojo

encargado de esta No diagrama de discutido con Verde
rea: No se sabe arquitectura el personal No aplica
Arquitectura del
sistema y diseo de red de la sobre
para sistemas empresa seguridad del
nuevos y
actualizaciones diseo y la
que incluyen las arquitectura
siguientes
consideraciones:
Estrategi
as de
seguridad,
polticas y
procedimientos
Antecede
ntes de
compromisos
de seguridad.
Resultad
os de las
evaluaciones
de riesgos de

Celular: (593-9) 1699699 Celular: (593)99 922000
seguridad.
La organizacin Si
tiene diagramas Algo
que muestran la No
seguridad en toda No se sabe
la empresa y la
arquitectura de red
que estn
actualizados.

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 32: Hoja de Trabajo. Prcticas de seguridad: Manejo de Incidentes
Manejo de Incidentes
las prcticas
en esta rea?
Si alguien del Si No existen Rojo

procedimient
rea: No se sabe os para No aplica
Existen
presentar
procedimientos
documentados informes o
para la
procesos
identificacin,
presentacin de para
informes, y
responder a
procesos para
responder a incidentes
incidentes
sospechosos y sospechosos
violaciones. y
Los Si
procedimientos de Algo violaciones.
manejo de No Nunca se ha
incidentes son No se sabe
peridicamente considerado
probados, desarrollar
verificados y
actualizados. una poltica
Existen polticas y Si para tratar
procedimientos Algo
documentados No con
para trabajar con No se sabe incidentes
autoridades
policiales. sospechosos
violaciones o

Celular: (593-9) 1699699 Celular: (593)99 922000
autoridades
policiales.
No se
reportan
incidentes o
violaciones.

Celular: (593-9) 1699699 Celular: (593)99 922000
Se utiliz la Hoja de Trabajo: Prcticas de seguridad para documentar el estado actual y la eficiencia
de las prcticas de seguridad de la organizacin, para esto se discutieron las preguntas presentadas en
las hojas de trabajo hasta llegar a un consenso de hasta que extensin cada prctica de seguridad est
presente en Pirmide Digital. Durante esta evaluacin, se identificaron fortalezas y debilidades
relacionadas a cada prctica de seguridad. La mayora de reas evaluadas fueron asignadas bajo el
estatus rojo o naranja, ninguna rea fue asignada con el estatus verde para prcticas de seguridad.
Se not que algunas prcticas de seguridad se realizaban correctamente en Pirmide Digital, pero la
mayora no se estaban ejecutando correctamente. Las dos prcticas de seguridad que se ejecutan bien
en la organizacin son: proteccin de la informacin confidencial en un almacenamiento seguro y
todas las estaciones de trabajo y otros componentes que permiten acceso a informacin sensible
estn fsicamente salvaguardados para prevenir acceso no autorizado.
Al rea de seguridad, concientizacin y entrenamiento se le asign estatus rojo ya que no existen
roles y responsabilidades de seguridad documentados y verificados, no hay capacitacin de
seguridad peridica para el personal y no se siguen buenas prcticas de seguridad ya que no hay
polticas de seguridad y reglamentos definidos.
Al rea de estrategias de seguridad se le asign estatus rojo ya que la actual estrategia comercial de
la empresa no es efectiva, no est documentada y no es proactiva y no hay una poltica de seguridad
definida para la organizacin.
Al rea de gestin de la seguridad se le asign estatus rojo ya que Gerencia no asigna fondos
suficientes para que miembros del personal se capaciten en seguridad, no hay roles y
responsabilidades definidos de seguridad para el personal, no existen procedimientos documentados
para la autorizacin y supervisin del personal que trabaja con informacin sensible ni para manejar
la contratacin y terminacin del personal, la organizacin no gestiona los riesgos de la seguridad de
la informacin.
Al rea de polticas de seguridad y regulaciones se le asign estatus rojo ya la poltica de manejo de
incidentes no es formal y no se encuentra documentada, no existe un procedimiento documentado
para evaluar y garantizar el cumplimiento de polticas de seguridad, leyes, regulaciones, etc.
Al rea de plan de contingencia y recuperacin de desastres se le asign estatus rojo debido a que
actualmente no existe un plan de recuperacin ante desastres naturales o emergencias, plan de
continuidad del negocio o de recuperacin para sistemas o redes.
Al rea de control de acceso fsico se le asign estatus naranja ya que existe control de acceso al rea
de servidores mediante el uso de una tarjeta magntica, todos los equipos estn protegidos con una
clave de acceso y tambin se encuentran fsicamente salvaguardados sin embargo, la seguridad fsica
se ve afectada debido a que en ocasiones se comparte computadores o se conocen contraseas de
otras personas, adems no existe una poltica de manejo de visitantes propia de la empresa sino que
se utiliza la poltica que maneja el edificio donde se encuentra la oficina de la empresa en Quito.
Al rea de gestin del sistema y la red se le asign estatus naranja ya que se realizan cambios de
contraseas peridicos para todos los usuarios, el acceso a equipos y sistemas est protegido con
contraseas, la empresa cuenta con copias de seguridad almacenadas en otro lugar y se da
mantenimiento a hardware y software una vez al ao sin embargo, actualmente no existe un plan de
seguridad del sistema y la red documentado, no todos los sistemas estn actualizados, no hay planes
de control de hardware y software ni procedimientos formales para cambio de contraseas o manejo
de usuarios y no se han eliminado los servicios que no se estn utilizando.

Celular: (593-9) 1699699 Celular: (593)99 922000
Al rea de monitoreo y auditora de la seguridad de TI se le asign estatus naranja ya que se realizan

monitoreos del sistema regularmente sin embargo, no se reporta actividades inusuales de acuerdo
con polticas y procedimientos definidos.
Al rea de manejo de la vulnerabilidad se le asign estatus rojo ya que no existen procedimientos
definidos para ninguno de los niveles de manejo de vulnerabilidades en la organizacin.
Al rea de encriptacin se le asign estatus rojo ya que nunca se ha discutido proteger la informacin
mediante encriptacin, no se protege la informacin el momento de enviarla via correo electrnico
mediante encriptacin y tampoco se utilizan protocolos de cifrado para manejar sistemas, routers o
firewalls a distancia.
Al rea de seguridad de diseo y arquitectura se le asign estatus rojo ya que si bien existe un
diagrama de arquitectura de red de la empresa no se ha hecho ninguna consideracin para el manejo
de seguridad del diseo y arquitectura de red, no existen polticas de seguridad, antecedentes de
compromisos de seguridad ni evaluaciones de riesgos de seguridad.
Y finalmente al rea de incidentes se le asign estatus rojo ya que no existen procedimientos para
presentar informes o procesos para responder a incidentes sospechosos y violaciones y nunca se ha
considerado desarrollar una poltica para tratar con autoridades policiales.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.2.2 Proceso S2: Crear perfiles de amenazas
3.2.2.1 Seleccionar Activos Crticos

Tabla 33: Hoja de Trabajo: Seleccin de Activos Crticos
Seleccin de Activos Crticos

Preguntas a considerar:
Qu activo tendra un efecto adverso en la organizacin si:
Es divulgado a personas no autorizadas?
Es modificado sin autorizacin?
Se pierde o es destruido?
El acceso al activo es interrumpido?
Activo Crtico Notas
1. Portal de Gerencia La empresa depende del Portal de Gerencia
(www.elmayorportaldegerencia.com)
2. Aplicaciones El personal utiliza distintas aplicaciones
diariamente.
3. Cliente Todo el personal utiliza computadoras
personales para tener acceso a la diferente
documentacin.
Se seleccionaron los siguientes activos crticos:

Portal de Gerencia: Esta fue una seleccin obvia para el equipo de trabajo, ya que el Portal de
Gerencia es central para que se desarrollen las operaciones de Pirmide Digital, ya que desde
aqu se maneja la universidad virtual, se almacenan videos, presentaciones, tips, entre otros
documentos necesarios para dictar los diferentes cursos que dicta la empresa. Pirmide Digital

Celular: (593-9) 1699699 Celular: (593)99 922000
debe cumplir con regulaciones para proteger la seguridad y privacidad para asegurar esta
informacin.
Aplicaciones: Se seleccion a las aplicaciones como activo crtico ya que varias de estas
aplicaciones son utilizadas diariamente por el personal ya sea para el monitoreo continuo del
estado de los distintos servidores (RealVNC) o para hacer seguimiento a proyectos, clientes,
campaas de marketing, etc. (SugarCRM).
Cliente: El equipo de anlisis concluy que las computadoras personales eran un activo comn
para todos los sistemas.
Se registraron todas las opciones para los activos crticos en la Hoja de Trabajo: Seleccin de
Activos Crticos. Posteriormente, se decidi que el Activo Crtico a ser evaluado es el Portal de
Gerencia, desde este punto en adelante todos los resultados presentados corresponden a dicho activo
critico.
3.2.2.2 Identificar requerimientos de seguridad

Tabla 34: Hoja de Trabajo: Informacin de Activos Crticos
Informacin de Activos Crticos

Activo Justificacin Descripcin del Requerimientos Requerimiento
Crtico de la Seleccin Sistema de Seguridad de seguridad
Cul es el Por qu es ese Quin usa el sistema? Cules son los ms importante
sistema crtico? sistema crtico para Quin es responsable requerimientos de Cul de los
la organizacin? de este sistema? seguridad para este requerimientos de
sistema? seguridad es el ms
importante para este
sistema?

Celular: (593-9) 1699699 Celular: (593)99 922000
Portal de El equipo de Todo el personal Confidencialidad: Confidencialidad

Gerencia trabajo defini tiene acceso al Solo personal Integridad
que el personal portal. autorizado puede Disponibilidad
es 80% El encargado de ver informacin Otro
dependiente realizar del Portal de
del Portal de mantenimiento Gerencia, se debe
Gerencia ya del mismo es el considerar que
que ah se departamento de persona tiene
encuentra Sistemas de la acceso a qu
almacenada empresa. informacin.
toda la
informacin Integridad:
que se utiliza Solo personal
para los autorizado puede
distintos modificar
cursos que se informacin del
dictan, Portal de
redactar Gerencia.
propuestas y la
universidad
virtual. Disponibilidad:
El Portal de
Gerencia debe
estar disponible
para que el
personal realice su
trabajo. El acceso
a esta informacin
es requerida
24x7x365.
Otro:
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 89

Celular: (593-9) 1699699 Celular: (593)99 922000
Se discutieron cules cualidades del activo crtico Portal de Gerencia eran importantes de proteger,
esta discusin result en la identificacin de los requerimientos de seguridad para este activo crtico.
Seleccionar el requerimiento de seguridad ms importante fue una decisin sin embargo, despus de
considerar y analizar las opciones, se decidi que el requerimiento de seguridad ms importante es la
disponibilidad del Portal de Gerencia, ya que para realizar actividades cotidianas, dictar cursos o
realizar propuestas se necesita acceso continuo e inmediato al Portal.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.2.2.3 Identificar amenazas a los activos crticos

Tabla 35: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso a la
red Perfil bsico de riesgo
Actores con acceso a la red Perfil bsico de riesgo

Amenaza Actores de amenazas
Para cul rama hay una posibilidad no desdeable de una amenaza Qu actores plantean las mayores amenazas
al activo? Marque estas ramas en el rbol. para el sistema a travs de la red?
Para cul de las ramas restantes hay una posibilidad despreciable o
nula de una amenaza para el activo? No marque estas ramas.
Resultado
Motivo
Acceso
Activo
Actor
Revelacin Personas que pertenecen a la organizacin

que actan accidentalmente:
Accidental Modificacin
Personas que trabajan en la empresa
Adentro Prdida que discuten informacin sensible
Interrupcin en reas pblicas.
` Revelacin Personas que pertenecen a la organizacin

que actan deliberadamente:
Premeditado Modificacin
Personal descontento, o personas
Red Prdida que mal utilizan la informacin
Portal
Interrupcin alojada en el Portal de Gerencia y no

tienen motivos maliciosos.
Revelacin Personas ajenas a la organizacin que

actan accidentalmente:
Algn tcnico que haya sido
Prdida contratado para que arregle alguna
Afuera Interrupcin falla de hardware.

actan deliberadamente:
Terroristas, espas, hackers.
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Motivo Historia
Qu tan fuerte es el motivo Qu tan confiado est Con qu frecuencia ha Qu tan exactos son estos
del actor? usted de este estimado? ocurrido esta amenaza en el datos?
pasado?
Medio
Nada
Nada
Bajo
Muy
Algo
Muy
Algo
Alto
5 veces en 2 aos X
2 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
X X 0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
96-97

Celular: (593-9) 1699699 Celular: (593)99 922000
red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red

De ejemplos de cmo personas Cualquier empleado que sin ser consciente revela datos
que pertenecen a la importantes, claves o datos importantes de la
organizacin actuando organizacin.
accidentalmente podran utilizar
el acceso a la red para amenazar
el sistema.
De ejemplos de cmo personas Cualquier empleado que tenga acceso fsico o remoto al
que pertenecen a la servidor donde se aloja el Portal de Gerencia.
organizacin que actuando
deliberadamente podran utilizar
el sistema.
Gente que no pertenece a la organizacin que tiene acceso a la red

De ejemplos de cmo personas Cualquier tcnico que tenga acceso fsico a los equipos
que no pertenecen a la que deliberada o accidentalmente pueda acceder a
organizacin que actuando informacin confidencial
el sistema.
De ejemplos de cmo personas Espas o hackers que quieran acceder al portal pueden
que no pertenecen a la intentar hackearlo buscando y explorando limitantes en el
organizacin que actuando cdigo o en las mquinas.
el sistema.
Tabla 37: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema
Problemas del Sistema Perfil bsico de riesgo

Celular: (593-9) 1699699 Celular: (593)99 922000
Amenaza Historia
Para cul rama hay una posibilidad no desdeable de una amenaza Con qu frecuencia ha Qu tan exactos son
al activo? Marque estas ramas en el rbol. estos datos?
ocurrido esta amenaza
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas. en el pasado?
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin 0 veces en 2 aos X
Defectos de software Modificacin 3 veces en 2 aos X
Prdida 0 veces en 2 aos X
Interrupcin 7 veces en 2 aos X
` Revelacin 0 veces en 2 aos X

El sistema se cae Modificacin 2 veces en 2 aos X
Porta

l

Defectos de hardware Modificacin 2 veces en 2 aos X

Cdigo malicioso Modificacin 0 veces en 2 aos X
0 veces en 2 aos X
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 38: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del Sistema
reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier Cualquier software mal instalado o sin actualizaciones.
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el Sin acceso al sistema, se detiene la operacin.
sistema se cae podra ser
sistema.
Defectos de Hardware
De ejemplos de cmo cualquier Al migrar la informacin a un nuevo servidor, y no est en
defecto de hardware podra ser produccin a tiempo.
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo Cualquier vulnerabilidad puede ser explotada a travs de
malicioso de software podra ser un virus o cualquier otro tipo de cdigo malicioso.
sistema.
Tabla 39: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas

Celular: (593-9) 1699699 Celular: (593)99 922000
Otros Problemas Perfil bsico de riesgo

Amenaza Historia
Resultad
Activo
Actor
Nada
Muy
Algo
o
Problemas con el Modificacin 3 veces en 2 aos X
suministro de energa Prdida 3 veces en 2 aos X

Problemas de Modificacin 0 veces en 2 aos X
telecomunicaciones Prdida 2 veces en 2 aos X
Porta

l

Problemas con Modificacin 3 veces en 2 aos X
sistemas de terceros Prdida 2 veces en 2 aos X

Desastres naturales Modificacin 0 veces en 2 aos X
0 veces en 2 aos X
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
reas de Preocupacin
Problemas con el suministro de energa

De ejemplos de cmo cualquier Los UPS no subieron correctamente haciendo que los
problema con el suministro de procesos que estaban corriendo se detengan, en varios
energa podra ser considerado casos se ha perdido informacin.
una amenazar el sistema.
Problemas de telecomunicaciones
De ejemplos de cmo cualquier Sin acceso a internet o conexin a la red interna de
problema de Pirmide Digital no se puede monitorear el estado del
telecomunicaciones podra ser servidor web.
sistema.
Problemas con sistemas de terceros

De ejemplos de cmo cualquier El momento que se instal Sugar CRM en el servidor web
problema con sistemas de se tuvo problemas y el envo de campaas de marketing se
terceros podra ser considerado detuvo.
Desastres naturales
De ejemplos de algn desastre No se han registrado amenazas al sistema por desastres
natural podra ser considerado naturales.

Celular: (593-9) 1699699 Celular: (593)99 922000
Amenaza Historia
Resultad
Activo
Actor
Nada
Muy
Algo
o
Personas clave Modificacin 3 veces en 2 aos X
permiso temporal Prdida 3 veces en 2 aos X

Personas clave Modificacin 1 veces en 2 aos X
que renuncian Prdida 2 veces en 2 aos X
Porta

l

Celular: (593-9) 1699699 Celular: (593)99 922000
reas de Preocupacin
Personas clave que toman un permiso temporal

De ejemplos de cmo si una Cuando una persona clave en la organizacin sali de
persona clave en la organizacin vacaciones, hubo una interrupcin en el Portal de
toma un permiso temporal Gerencia.
podra ser considerado una
amenazar el sistema.
Personas clave que salen de la organizacin permanentemente

De ejemplos de cmo si una Cuando renuncio una persona clave en la empresa, quien
persona clave en la organizacin conoca como administrar un sistema, tom tiempo en que
se retira de la empresa la persona que lo iba a reemplazar logre poner en
permanentemente podra ser funcionamiento dicho sistema.
sistema.
Se construy un perfil de riesgo para el activo critico Portal de Gerencia, registrando el perfil en la
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia, las amenazas
correspondientes a los Actores Humanos con acceso a la red y fsicos no se deben minimizar o
despreciar as no se haya detectado mayor amenaza por los actores con acceso a la red en los ltimos
dos aos, se lleg a esta conclusin basado en la experiencia del equipo y los problemas
relacionados con la red y la seguridad fsica.
La mayora de las amenazas de la categora de Problemas del Sistema afectara por lo general slo la
disponibilidad de la informacin almacenada en el Portal de Gerencia, la excepcin es el cdigo
malicioso, ya que no se puede conocer el resultado de esta amenaza. Las amenazas de la otra
categora de Otros Problemas tambin se cree que afecta slo a la disponibilidad del Portal de
Gerencia.

Celular: (593-9) 1699699 Celular: (593)99 922000
Se identificaron los tipos de personas que pueden ser consideradas actores amenaza, se document
distintos tipos de actores potenciales, incluyendo hackers, personal descontento y personal de
Pirmide Digital que de manera accidental o premeditado puedan poner en riesgo al activo, ya que la
empresa no cuenta con un plan para manejar el acceso a la informacin o violaciones de seguridad
confidencial, el equipo estaba preocupado por la amenaza potencial planteada por cualquier tcnico
que tenga acceso fsico a los equipos que deliberada o accidentalmente pueda acceder a informacin
confidencial.
Con la excepcin de algn miembro del personal descontento, se determin que la amenaza que
representa cualquier persona que trabaja para la organizacin es baja; los motivos de personas del
exterior para acceder al Portal de Gerencia fueron difciles de estimar, pero se llego a la conclusin
que debido a que la empresa no es muy grande es un objetivo menos atractivo a hackers o espas. Se
decidi que los motivos para personas del exterior que pueden amenazar al sistema es bajo.
La amenaza que presenta un defecto de software, hardware, si el sistema se cae o cdigo malicioso
ha generado algunos episodios en los ltimos dos aos causando modificacin, perdida e
interrupcin en el activo.
El riesgo de que un problema con el suministro de energa, de telecomunicaciones, sistemas de
tercero o desastres naturales result difcil de estimar y el equipo no se encontraba muy seguro de
estos datos, especialmente para estimar la frecuencia de modificacin, perdida e interrupcin debido
a problemas con el suministro de energa y la perdida y interrupcin debido a problemas de
telecomunicaciones ya que result difcil recordar todos los episodios que han sucedido en los
ltimos dos aos.
Otra rea de preocupacin que puede convertirse en una amenaza al sistema es que si algn miembro
del personal que se considera clave en la organizacin pide un permiso temporal o renuncia se
considera como una amenaza al sistema, ya que toma tiempo hacer que otra persona asuma esas
responsabilidades haciendo difcil buscar un reemplazo adecuado, esta conclusin la confirma los
datos recolectados por el equipo de anlisis ya que en dos aos han ocurrido casos en que se ha
perdido, modificado e interrumpido el activo.
3.3 Fase Dos: Identificar vulnerabilidades de la infraestructura

En esta fase, el equipo de trabajo conduce una revisin de alto nivel de la infraestructura
computacional, debe enfocarse en la seguridad, y se debe analizar cmo la gente utiliza la
infraestructura computacional para acceder a los activos crticos, y conociendo quin es responsable
de configurar y dar mantenimiento a dichos activos crticos.
El equipo de trabajo examina hasta qu punto cada parte responsable realiza con seguridad sus
prcticas y procesos de TI.
En esta fase se identifica un proceso:

Celular: (593-9) 1699699 Celular: (593)99 922000
Figura 9: Mtodo Octave-S, Fase Dos

Celular: (593-9) 1699699 Celular: (593)99 922000
3.3.1 Proceso S3: Examinar la infraestructura computacional en

relacin a los activos crticos
3.3.1.1 Examinar rutas de acceso

Tabla 43: Hoja de Trabajo: Rutas de acceso
Sistema de inters
Portal de Gerencia
Puntos de Acceso
Sistema de Inters Puntos de Acceso Intermedios
Cul de las siguientes clases de componentes son parte del Cul de las siguientes clases de componentes se utilizan
sistema de inters? para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores Red Interna
Redes Internas Red externa
Estaciones de trabajo Otros
Otros

Celular: (593-9) 1699699 Celular: (593)99 922000
Puntos de Acceso
Acceso al Sistema por Ubicacin de donde se Otros Sistemas o
Individuos almacenan los datos Componentes
De cul de las siguientes En qu clase de componente esta la Cul otro sistema accede a
clases de componentes puede la gente informacin del sistema de inters informacin del sistema de inters?
(por ejemplo, los usuarios, los almacenada por motivos de respaldo?
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo Dispositivos de
almacenamiento de respaldos
Laptops locales
PDAs/Componentes Wireless Otros
Estaciones de Trabajo fuera

de la oficina
Otros
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 140-141
Se utiliz la Hoja de Trabajo: Rutas de acceso, para revisar cmo la gente accede al activo crtico
Portal de Gerencia y se identificaron clases de componentes clave que eran parte o se relacionaban
con el Portal. Esta actividad incluy examinar puntos de acceso al Portal de Gerencia y se determin
que el personal usualmente utilizaba estaciones de trabajo, laptops, PDAs y estaciones de trabajo
fuera de la oficina para acceder al Portal, se determin que los puntos de acceso intermedio incluan
redes internas y externas y que se contaba con dispositivos de almacenamiento de respaldos locales.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.3.1.2 Analizar procesos relacionados con tecnologa

Tabla 44: Hoja de Trabajo: Evaluacin de la infraestructura
Clase Activo Crtico Responsabilidad

Cul clase de componente est Cul activo critico est Quin es responsable de mantener y
relacionado con uno o ms de los activos relacionado con cada clase? asegurar cada clase de cada
crticos? Aplicaciones componente?
Cliente
Portal
Servidores
Servidor web X X X rea de Tecnologa
Red interna
Todos X X X rea de Tecnologa
Estaciones de trabajo
Administrador X X rea de Tecnologa
Usuarios X X rea de Tecnologa
Laptops
Administrador X X rea de Tecnologa
Usuarios X X rea de Tecnologa
Visitantes X rea de Tecnologa
PDAs/Componentes Wireless
Personal X rea de Tecnologa
Visitantes X rea de Tecnologa
Dispositivos de
Almacenamiento

Celular: (593-9) 1699699 Celular: (593)99 922000
Respaldo local X X rea de Tecnologa

Respaldo off-site X X No seguro
Red Externa
Todos X Desconocido
Estaciones de trabajo fuera de

la oficina
Administrador X Individual
Usuarios X Individual
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 144-147
Para poder realizar esta actividad, se asumi un punto de vista de la infraestructura para analizar la
informacin utilizando la Hoja de Trabajo: Evaluacin de la infraestructura, durante este anlisis se
documentaron las clases de componentes y se analiz cul activo crtico estaba relacionado a cada
clase, tambin se determino quin era responsable de mantener y asegurar cada clase de componente.
El personal de Pirmide Digital a travs del rea de Tecnologa da mantenimiento a la mayora de
las clases de componentes, excepto cuando se accede al Portal a travs de estaciones de trabajo fuera
de la oficina.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.4 Fase Tres: Desarrollo de planes y estrategias de seguridad

En esta fase, el equipo de trabajo identifica los riesgos s los que los activos crticos de la empresa
estn expuestos y decide qu hacer con ellos, se basan en un anlisis de la informacin recogida, con
esta informacin el equipo de trabajo desarrolla una estrategia de proteccin para la organizacin y
planes de mitigacin para enfrentar los riesgos de los activos crticos.
En esta fase se identifican dos procesos:
Figura 10: Mtodo Octave-S, Fase Tres
3.4.1 Proceso S4: Identificar y analizar los riesgos
3.4.1.1 Evaluar el impacto de las amenazas

red. Impacto
Actores con acceso a la red Impacto

Celular: (593-9) 1699699 Celular: (593)99 922000
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable o A: Alto
nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Motivo
Multas
Acceso
Activo
Actor
Otro
Revelacin M B A B A -
Accidental Modificacin M B A B A -
Adentro Prdida A M A B A -
Interrupcin A M A B A -
` Revelacin M M A B A -
Premeditado Modificacin M M A B A -
Red Prdida M M A B A -
Porta
l
Interrupcin M M A B A -
Revelacin M M A B M -
Accidental Modificacin M B A B M -
Prdida M M A M M -
Afuera Interrupcin M M M M M -
Revelacin M M A M A -
Premeditado Modificacin M A A M A -
Prdida M A A M A -
Interrupcin M A A M A -
118

Celular: (593-9) 1699699 Celular: (593)99 922000
Tabla 46: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Impacto
Problemas del Sistema Impacto

Amenaza Impacto
Para cul de las ramas restantes hay una posibilidad despreciable A: Alto
o nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin M M A B M -
Defectos de software Modificacin A M A B A -
Prdida A A A B A -
Interrupcin A A A M A -
` Revelacin M M M B M -
El sistema se cae Modificacin M B M B A -
Prdida A A A B A -
Porta
Interrupcin A A A B A -
l
Revelacin M B A B M -
Defectos de hardware Modificacin B B A M M -
Prdida A A A M A -
Interrupcin A A A M A -

Celular: (593-9) 1699699 Celular: (593)99 922000
Revelacin A A A A A -
Cdigo malicioso Modificacin A A A A A -
Prdida A A A A A -
Interrupcin A A A A A -
Tabla 47: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto

Amenaza Impacto
B: Bajo

Celular: (593-9) 1699699 Celular: (593)99 922000
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin M M B M B -
Problemas con el Modificacin M M M M A -
suministro de energa Prdida M M A M A -
Interrupcin M M A M A -
` Revelacin M M B M B -
Problemas de Modificacin M M M M A -
telecomunicaciones Prdida M M A M A -
Porta
l
Revelacin A A B M B -
Problemas con Modificacin M M M M A -
sistemas de terceros Prdida M M A M A -
Revelacin A A B M B -
Desastres naturales Modificacin M M M M A -
Prdida M M A M A -

Celular: (593-9) 1699699 Celular: (593)99 922000
Impacto

Amenaza Impacto
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin A M M B M -
Personas clave Modificacin A M A B A -
permiso temp. Prdida A M A B A -
Interrupcin A B A B A -
` Revelacin A M A B A -
Personas clave Modificacin A M A M A -
que renuncian Prdida A M A M A -
Porta
Interrupcin A M A M A -
l
La Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Impacto sirvi para
evaluar los impactos de las amenazas en la organizacin, se revis cada rea de inters y discutieron
distintos tipos de acciones especficas que habra que adoptar para hacer frente a una amenaza,
proporcionando una base para estimar el nivel real de impacto (alto, medio, bajo).
Existi dificultad el momento de estimar el impacto en el caso de reputacin y multas para algunas
de las amenazas, por lo que se decidi consultar el criterio del Gerente General de la empresa para
poder realizar estas estimaciones.
De manera particular se identifica la prdida o interrupcin del activo crtico en cada rea de inters
como lo ms importante a tomar en cuenta en caso de una amenaza.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.4.1.2 Establecer criterios de evaluacin basado en la frecuencia

Tabla 49: Hoja de Trabajo: Criterios basados en la frecuencia
1. Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto Medio
Tiempo
Cuatro veces < 4 veces al
entre Diario Semanal Mensual
al ao ao
eventos
Frecuencia
365 52 12 4 <4
analizada
2. Dibuje lneas que separen alto de medio y medio de bajo
Medio Bajo
Una vez al < 1 vez al Una vez cada Una vez cada Una vez cada Una vez cada
ao ao 5 aos 10 aos 20 aos 50 aos
1 <1 0.2 0.1 0.05 0.02
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 150-
151
Se defini la frecuencia utilizando la Hoja de Trabajo: Criterios basados en la frecuencia basndose

en su experiencia y conocimientos, as como la limitada informacin histrica que tenan de
amenazas para definir el criterio a utilizar para estimar si la ocurrencia de amenazas al Portal de
Gerencia es alto, medio o bajo.
Se defini un lmite alto si la ocurrencia de una amenaza suceda ms de cuatro veces al ao, medio
si la ocurrencia es entre una y cuatro veces al ao y baja si ocurra menos de una vez al ao.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.4.1.3 Evaluar probabilidades de amenaza

red. Probabilidad
Actores con acceso a la red Probabilidad

Amenaza Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en
al activo? Marque estas ramas en el rbol. el futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable o Qu tan confiado est de esta estimacin?
Confianza
Resultado
Motivo
Acceso
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Accidental Modificacin B X
Adentro Prdida M X
Interrupcin M X
` Revelacin M X
Premeditado Modificacin M X
Red Prdida M X
Porta
l
Interrupcin B X
Revelacin M X
Accidental Modificacin M X
Prdida M X
Afuera Interrupcin M X
Revelacin M X
Premeditado Modificacin M X

Celular: (593-9) 1699699 Celular: (593)99 922000
Prdida M X
Interrupcin M X
119
Tabla 51: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Probabilidad
Problemas del Sistema Probabilidad

Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en el
al activo? Marque estas ramas en el rbol. futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable Qu tan confiado est de esta estimacin?
o nula de una amenaza para el activo? No marque estas ramas.
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X

Celular: (593-9) 1699699 Celular: (593)99 922000
Defectos de software Modificacin M X

Prdida B X
Interrupcin B X
` Revelacin B X
El sistema se cae Modificacin A X
Prdida M X
Porta
Interrupcin A X
l
Revelacin B X
Defectos de hardware Modificacin A X
Prdida M X
Interrupcin A X
Revelacin B X
Cdigo malicioso Modificacin B X
Prdida B X
Interrupcin B X

Celular: (593-9) 1699699 Celular: (593)99 922000
Probabilidad
Otros Problemas Probabilidad

Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Problemas con el Modificacin M X
suministro de energa Prdida M X
Interrupcin A X
` Revelacin B X
Problemas de Modificacin M X
telecomunicaciones Prdida A X
Porta
Interrupcin A X
l
Revelacin M X
Problemas con Modificacin M X
sistemas de terceros Prdida M X
Interrupcin M X
Revelacin B X
Desastres naturales Modificacin M X
Prdida M X
Interrupcin A X

Celular: (593-9) 1699699 Celular: (593)99 922000
Probabilidad

Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Personas clave Modificacin M X
permiso temp. Prdida A X
Interrupcin A X
` Revelacin B X
Personas clave Modificacin M X
que renuncian Prdida A X
Porta
l
Interrupcin A X
Usando la Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Probabilidad
con la ayuda del equipo de trabajo y el Gerente General de la organizacin se evalu la probabilidad
de que ocurra una amenaza y se determin el nivel de confianza de este estimado, los resultados son
los siguientes:
Para cualquier amenaza que ocurra por problemas del sistema como defectos de software, si el
sistema se cae, defectos de hardware o cdigo malicioso el equipo de anlisis se mostr muy
confiado al realizar estimados de probabilidades de ocurrencia de estas amenazas en el futuro,
tomando especial atencin si se trata de un defecto de hardware o si el sistema se cae ya que
consideran hay mayor probabilidad de que ocurra alguna modificacin o interrupcin en el activo.

Celular: (593-9) 1699699 Celular: (593)99 922000
Para realizar estimados de probabilidades de amenaza causadas por actores con acceso a la red, el
equipo se muestra poco confiado, ya que es difcil predecir el comportamiento de la gente sin
embargo, consideran que la principal amenaza se presentara con alguna persona externa a la
organizacin que lo haga accidentalmente o con intencin de causar dao.
En el caso de amenazas presentadas por problemas con el suministro de energa,
telecomunicaciones, problemas con sistemas de terceros o desastres naturales se considera que la
probabilidad de que suceda en el futuro es media para cada caso. El equipo se mostr poco confiado
al realizar estas estimaciones.
Finalmente, la probabilidad de que ocurra una amenaza si una persona clave en la organizacin tome
un permiso temporal o una persona clave en la organizacin renuncie es alta si el resultado es
prdida o interrupcin; en este caso igualmente el equipo de anlisis se mostr poco confiado en
estas estimaciones.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.5.1 Proceso S5: Desarrollo de estrategias y planes de mitigacin
3.5.1.1 Describir estrategia de proteccin actual

Tabla 54: Hoja de Trabajo: Conocimiento de seguridad y entrenamiento
Qu tan formal es la estrategia de capacitacin de su organizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin Cambiar
documentada que incluye una evaluacin del conocimiento
Actual
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin Actual
Cambiar
informal e indocumentada.
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Evaluar el conocimiento de Seguridad
Se proveen entrenamientos peridicos sobre seguridad que Cambiar
Actual
a todos los empleados 1 vez cada ao.
Se provee entrenamiento sobre seguridad a personas nuevas
en la organizacin como parte de sus actividades de Actual Cambiar
orientacin.
La organizacin no provee un entrenamiento sobre Actual
seguridad. Cada miembro del personal aprende sobre Cambiar
problemas de seguridad por s mismo.
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Entrenamiento relacionado con Seguridad
Los miembros del rea de TI deben asistir a entrenamientos
relacionados con seguridad para cualquier tecnologa que Actual Cambiar
utilicen.
Los miembros del rea de TI pueden asistir a Cambiar
entrenamientos relacionados con seguridad para cualquier Actual
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que Actual
miembros del rea de TI asistan a entrenamientos
Cambiar
relacionados con seguridad para cualquier tecnologa que
utilicen.
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actualizaciones peridicas de Seguridad

Celular: (593-9) 1699699 Celular: (593)99 922000
La organizacin tiene mecanismos formales para proveer Cambiar

miembros del personal con actualizaciones peridicas / Actual
boletines sobre problemas de seguridad importantes.
La organizacin no tiene un mecanismo para proveer a Actual
miembros del personal con actualizaciones peridicas / Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
Verificacin del Entrenamiento
La organizacin tiene mecanismos formales para rastrear y
verificar que los miembros del personal reciban Actual Cambiar
entrenamiento sobre seguridad apropiado.
La organizacin tiene mecanismos informales para rastrear Cambiar
y verificar que los miembros del personal reciban Actual
La organizacin no tiene mecanismos para rastrear y Actual
verificar que los miembros del personal reciban Cambiar
158
Tabla 55: Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se Actual Cambiar
trabaja con colaboradores y socios.
La organizacin tiene polticas y procedimientos Actual Cambiar

Celular: (593-9) 1699699 Celular: (593)99 922000
documentados para proteger cierta la informacin cuando

se trabaja con colaboradores y socios. La organizacin tiene
polticas y procedimientos no documentados para proteger
otros tipos de informacin cuando se trabaja con
colaboradores y socios.
La organizacin tiene polticas y procedimientos informales Actual
y no documentados para proteger la informacin cuando se Cambiar
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Contratistas y Subcontratistas
trabaja con contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos Cambiar
se trabaja con contratistas y subcontratistas. La organizacin
Actual
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios

Celular: (593-9) 1699699 Celular: (593)99 922000

trabaja con proveedores de servicios.
La organizacin tiene polticas y procedimientos Cambiar
se trabaja con proveedores de servicios. La organizacin
Actual
proveedores de servicios.
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras Actual Cambiar
partes.
La organizacin comunica informalmente los requisitos de Cambiar
Actual
proteccin de informacin a terceras partes.
La organizacin no comunica sus requisitos de proteccin Actual
Cambiar
de informacin a terceras partes.
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
Actual Cambiar
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar Cambiar
Actual
requerimientos.
La organizacin no tiene mecanismos formales para Actual
verificar que organizaciones de terceros, servicios de
Cambiar
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Conocimiento del Personal
El programa de entrenamiento sobre conocimiento de Cambiar
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y Actual
procedimientos. Este entrenamiento se da a todos los
empleados 1 vez cada ao.
El programa de entrenamiento sobre conocimiento de
manejo colaborativo de seguridad, polticas y Actual Cambiar
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.
El programa de entrenamiento sobre conocimiento de Actual
seguridad de la organizacin no incluye informacin sobre
el manejo colaborativo de seguridad, polticas y
procedimientos. Este entrenamiento se da a todos los Cambiar
empleados 1 vez cada ao. Los miembros del personal
aprenden sobre manejo colaborativo de la seguridad por si
mismos.
162
Tabla 56: Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica
Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Tarea: Actual Cambiar

Celular: (593-9) 1699699 Celular: (593)99 922000
Combinado
Combinado
Externo
Externo
Interno
Interno
Mantener registros de mantenimiento para documentar
X
reparaciones y modificaciones al hardware.
Monitorear acceso fsico controlado por hardware. X
Monitorear acceso fsico controlado por software. X
Monitorear acceso fsico a reas de trabajo
X
restringidas.
Revisar los registros de monitoreo peridicamente. X
Investigar y monitorear cualquier actividad inusual no
X
identificada.
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin ha documentado formalmente planes y Cambiar
procedimientos para monitorear acceso fsico al edificio, Actual
reas de trabajo, hardware y software.
La organizacin ha documentado formalmente algunos
planes y procedimientos para monitorear acceso fsico al
edificio, reas de trabajo, hardware y software. Algunas Actual Cambiar
polticas y procedimientos son informales y no son
documentados.
La organizacin tiene planes y procedimientos para Actual
monitorear acceso fsico al edificio, reas de trabajo, Cambiar
hardware y software que son informales y no documentados.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
Entrenamiento
Miembros designados del personal estn obligados a asistir
a entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
Miembros designados del personal pueden asistir a Cambiar
entrenamientos para monitorear acceso fsico al edificio, Actual
reas de trabajo, hardware y software si ellos lo piden.
La organizacin generalmente no provee oportunidades para Actual
que miembros designados del personal asistan a
Cambiar
entrenamientos para monitorear acceso fsico al edificio,
170
Tabla 57: Hoja de Trabajo: Estrategia de proteccin para autenticacin y autorizacin

Quin es actualmente responsable de la autenticacin y autorizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Responsabilidad
Actual Cambiar
Combinado
Combinado
Externo
Externo
Interno
Interno
Tarea:
Implementar control de acceso (permisos de archivos,

configuracin de la red) para restringir a usuarios
acceso a informacin, sistemas susceptibles, X
aplicaciones y servicios especficos y conexiones de
red.
Implementar autenticacin de usuarios (permisos de
archivos, configuracin de la red) para restringir a
X
usuarios acceso a informacin, sistemas susceptibles,

Celular: (593-9) 1699699 Celular: (593)99 922000
red.
Establecer y terminar acceso a sistemas e informacin
X
para ambos individuos y grupos.
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
La organizacin ha documentado formalmente autorizacin Cambiar
y autenticacin de procedimientos para restringir a usuarios
Actual
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
La organizacin ha documentado formalmente autorizacin
y autenticacin de algunos procedimientos para restringir a
Actual Cambiar
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
La organizacin tiene procedimientos informales y no Actual
documentados para la autorizacin y autenticacin de
procedimientos para restringir a usuarios acceso a Cambiar
informacin, sistemas susceptibles, aplicaciones y servicios
especficos y conexiones de red.
capacitacin?
Entrenamiento
a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas Actual Cambiar
susceptibles, aplicaciones y servicios especficos y
conexiones de red.

Celular: (593-9) 1699699 Celular: (593)99 922000
Miembros designados del personal pueden asistir a Cambiar

entrenamientos para restringir a usuarios acceso a
Actual
especficos y conexiones de red si ellos lo piden.
La organizacin generalmente no provee oportunidades para Actual
entrenamientos para restringir a usuarios acceso a Cambiar
176
Tabla 58: Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones
Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
Polticas Documentadas
La organizacin tiene un conjunto integral de polticas
Actual Cambiar
relacionadas con seguridad formalmente documentadas.
La organizacin tiene un conjunto integral de polticas Cambiar
Actual
relacionadas con seguridad informalmente documentadas.
Las polticas relacionadas con seguridad de la organizacin Actual
Cambiar
son informales y no estn documentadas.
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
Manejo de Polticas
La organizacin tiene un mecanismo formal para crear y
Actual Cambiar
actualizar su poltica relacionada con seguridad.
La organizacin tiene un mecanismo formal para crear su Cambiar
poltica relacionada con seguridad. La organizacin tiene un
Actual
mecanismo informal y no documentado para actualizar su
poltica relacionada con seguridad.
La organizacin tiene un mecanismo informal y no Actual
documentado para crear y actualizar su poltica relacionada Cambiar
con seguridad.

Celular: (593-9) 1699699 Celular: (593)99 922000
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
Aplicacin de Polticas
La organizacin tiene procedimientos formales para aplicar
su poltica relacionada con seguridad. Estos procedimientos Actual Cambiar
aplicados son aplicados y seguidos constantemente.
La organizacin tiene procedimientos formales para aplicar Cambiar
su poltica relacionada con seguridad. Estos procedimientos Actual
aplicados nunca se siguen.
La organizacin tiene un mecanismo informal y no Actual
documentado para aplicar su poltica relacionada con Cambiar
seguridad.
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
Polticas y Cumplimiento del Reglamento
La organizacin tiene procedimientos formales para cumplir
con polticas de seguridad de la informacin, leyes Actual Cambiar
aplicables, regulaciones y requisitos del seguro.
La organizacin tiene procedimientos formales para cumplir Cambiar
con ciertas polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro. Algunos Actual
procedimientos en esta rea son informales y no estn
documentados.
La organizacin tiene procedimientos informales y no Actual
documentados para cumplir con polticas de seguridad de la
Cambiar
informacin, leyes aplicables, regulaciones y requisitos del
seguro.
180

Celular: (593-9) 1699699 Celular: (593)99 922000
La Hoja de Trabajo: Estrategia de Proteccin se ha utilizado para que se discuta las actuales
estrategias de proteccin y vulnerabilidades de cada rea en la organizacin. La estrategia de
proteccin describe los distintos procesos que se utilizan para realizar diferentes prcticas de
seguridad enfocndose en conocer hasta qu grado cada proceso est formalmente definido; en esta
hoja de trabajo el equipo de anlisis define tambin qu cambios se debera hacer a cada rea en la
organizacin para mejorar su estrategia y capacitacin en seguridad.
Se debe tener en cuenta que en una organizacin se puede presentar uno de estos escenarios: la
compaa se desempea muy bien en un rea, pero tienen procesos muy informales, o una
organizacin tiene un amplio margen de mejora a pesar de tener polticas y procedimientos muy
formales48
La estrategia de proteccin actual se describe a continuacin:
Conocimiento de seguridad y entrenamiento: El equipo de anlisis cree que su actual
estrategia de proteccin no est definida apropiadamente para manejar los problemas del da a
da que puedan surgir, adicionalmente el personal no ha recibido un entrenamiento formal sobre
seguridad y tampoco existen mecanismos para rastrear y monitorear que los miembros del
personal se entrenen en temas de seguridad. Mejorar esta rea debe reducir las fuentes
accidentales de amenazas internas.
Manejo colaborativo de la seguridad: Actualmente no existe una poltica para proteger

informacin cuando se trabaja con colaboradores y socios, contratistas y subcontratistas y
proveedores de servicios; tampoco se cuenta con mecanismos formales para verificar que
organizaciones de terceros cumplan con los requerimientos de la empresa.
No hay entrenamiento a disposicin del personal para el manejo colaborativo de seguridad,
polticas y procedimientos.
Monitorear y auditar seguridad fsica: Hubo cierta preocupacin por los miembros del equipo
al analizar los problemas de seguridad fsica existan en Pirmide Digital ya que no existen
planes para controlar reas de trabajo, hardware y software y tampoco se provee entrenamiento
en esta rea. Con respecto a la seguridad fsica, el departamento de seguridad del edificio World
Trade Center es responsable del acceso fsico a la empresa en la oficina en Quito y esta
actividad est totalmente controlada.
48
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0, Volume 10: Example Scenario. Pittsburgh, PA,
Carnegie Mellon Software Engineering Institute, 2005, 11

Celular: (593-9) 1699699 Celular: (593)99 922000
Autenticacin y autorizacin: En la organizacin no estaba usando un medio consistente para

controlar el acceso a redes y no se han definido procedimientos para restringir acceso a usuarios
ni que permisos debe tener que persona, el equipo estaba preocupado por las posibles
consecuencias de estas cuestiones.
Polticas de seguridad y regulaciones: No existen polticas documentadas relacionadas con

seguridad, un mecanismo formal para crear y manejar polticas ni procedimientos formales para
cumplir con polticas de seguridad, leyes, regulaciones o requisitos.
3.5.1.2 Desarrollar plan de mitigacin

Tabla 59: Hoja de Trabajo: Plan de Mitigacin
rea de Mitigacin: Conocimiento de seguridad y entrenamiento

Actividad de mitigacin Razn
Qu actividad de mitigacin va a implementar en esta rea Por qu seleccion esta actividad?
de seguridad?
Proveer entrenamiento sobre seguridad a La poltica actual de Pirmide Digital no
personas nuevas en la organizacin como provee un entrenamiento sobre seguridad,
parte de sus actividades de orientacin y a cada miembro del personal aprende sobre
todo el personal una vez al ao. problemas de seguridad por s mismo. Debe
existir un entrenamiento de seguridad
peridico.
Permitir que miembros del personal asistan a No hay entrenamiento relacionado con
entrenamientos relacionados con seguridad tecnologas utilizadas en la organizacin.
para cualquier tecnologa que utilicen si ellos
lo piden.
El encargado de cada departamento deber Se debe implementar un mecanismo para
tener una lista para rastrear qu persona rastrear y verificar que los miembros del
asisti a un entrenamiento y cuando asisti. personal reciban entrenamiento.
Establecer polticas y procedimientos para la Con esta actividad se evitar que posibles
determinacin de roles y responsabilidades errores humanos pongan en riesgo al activo.

Celular: (593-9) 1699699 Celular: (593)99 922000
del personal.
Responsable de mitigacin Apoyo adicional

Quin necesita estar involucrado en implementar cada Qu apoyo adicional se necesitar cuando se implemente
actividad? cada actividad?
Gerente General Para que exista un entrenamiento peridico
Gerente de Tecnologa se necesita que haya compromiso por parte
de la Gerencia General y que se destinen
fondos para esta actividad.
Gerente General Debe haber fondos para que esta actividad se
Gerente de Tecnologa realice.
Gerencia General y los encargados de cada Todos los encargados de cada departamento
departamento de la empresa deben participar en esta
actividad para tener un control adecuado.
Gerente de Tecnologa Todo el personal debe colaborar.
183
rea de Mitigacin: Manejo colaborativo de la seguridad

de seguridad?
Proveer entrenamiento sobre manejo La poltica actual de Pirmide Digital no
colaborativo de seguridad a personas nuevas provee un entrenamiento sobre seguridad,
en la organizacin como parte de sus cada miembro del personal aprende sobre
actividades de orientacin y a todo el problemas de seguridad por s mismo. Debe
personal una vez al ao. existir un entrenamiento de seguridad
peridico.
Designar a un miembro del rea IT como Actualmente no se hace nada con respecto de
punto de contacto para comunicar ciertos comunicar requerimientos para trabajar con

Celular: (593-9) 1699699 Celular: (593)99 922000
requerimientos cuando se trabaja con terceros.

colaboradores y socios, contratistas y
subcontratistas, proveedores de servicios.
Designar a un miembro del rea IT como Actualmente no se hace nada con respecto de
punto de contacto para verificar que verificar que organizaciones de terceros
organizaciones de terceros, servicios de cumplan con sus requerimientos.
seguridad externos y tecnologas cumplan
con sus requerimientos.

Gerente de Tecnologa La Gerencia General debe patrocinar esta
actividad y la Gerencia de Tecnologa debe
asignar a una persona de si equipo como
punto de contacto.
Gerente de Tecnologa La Gerencia General debe patrocinar esta
actividad y la Gerencia de Tecnologa debe
asignar a una persona de si equipo como
punto de contacto.
183
rea de Mitigacin: Monitorear y auditar seguridad fsica

de seguridad?
Documentar formalmente procedimientos No existen planes para monitorear el acceso

Celular: (593-9) 1699699 Celular: (593)99 922000
para monitorear acceso fsico a hardware y fsico, hardware y software sin embargo,
software para que se asegure que se apliquen algunos procesos se monitorean
por todos los miembros del personal. informalmente.
Mantener registros de mantenimiento para
documentar reparaciones y modificaciones al
hardware y software.
Monitorear el acceso fsico mediante el uso
de credenciales que permitan controlar,
limitar, monitorear y auditar el acceso a
distintas reas de la oficina.
Asignar a una persona encargada de No hay nadie responsable de monitorear
monitorear cualquier actividad inusual. actividades inusuales.
Definir polticas en caso de falla de un No hay polticas definidas o documentadas.
equipo.
Planificar mantenimiento peridico del Se realiza mantenimiento sin embargo no se
servidor donde se aloja el Portal de documenta ningn cambio.
Gerencia.
Inventario de estaciones de trabajo y equipos No existe un inventario actualizado, no se ha
y seguro. contratado ningn seguro en caso de
proteccin.
Documentar estrategia para control de No hay ninguna estrategia definida.
acceso y capacitacin del personal.
Mecanismo de vigilancia. En ejecucin, pero no al 100%
Establecer polticas para el Primary Domain No se ha considerado realizar este cambio.
Control (servidor) para instalacin de
software no autorizado.
Paquetes de actualizacin a travs de la No se ha considerado realizar este cambio.
consola del servidor (Wake On LAN).
Asignar a una persona que asista a No se provee entrenamientos para
entrenamientos para monitorear acceso fsico monitorear y auditar la seguridad fsica.
al edificio, reas de trabajo, hardware y
software una vez al ao.

Celular: (593-9) 1699699 Celular: (593)99 922000

Miembros del rea de TI Entrenar al personal involucrado en cmo
realizar planes y monitorear
apropiadamente el acceso fsico.
Gerencia TI Entrenar al encargado.
Gerencia TI Definir un responsable.
Gerencia TI Entrenar al responsable para establecer
polticas de actualizacin.
Gerencia TI Definir un responsable.
Gerencia TI Entrenamiento y capacitacin.
Gerencia TI Asignar a un responsable para que se
termine la implementacin de cmaras de
vigilancia.
Gerencia TI Asignar fondos para la implementacin.
Gerencia General
Gerencia TI Asignar fondos para la implementacin.
Gerencia General
Gerencia General Asignar fondos para entrenamiento sobre
Miembros del rea de TI acceso fsico.
183
Tabla 62: Hoja de Trabajo: Autenticacin y autorizacin
rea de Mitigacin: Autenticacin y autorizacin

de seguridad?
Asignar responsables encargados de Miembros del rea de TI deben estar
implementar control de acceso y involucrados y participar en implementar
autenticacin de usuarios y documentar la control de acceso al Portal de Gerencia ya
autorizacin y autenticacin de que actualmente no se conoce quin debe
procedimientos. tener acceso qu.
Asignar a una persona que asista a No se provee entrenamientos para esta
entrenamientos para restringir a usuarios de actividad.
acceso a informacin, sistemas susceptibles y

Celular: (593-9) 1699699 Celular: (593)99 922000
servicios especficos.
Revisar las estaciones de trabajo para En muchas ocasiones hay clientes visitando
asegurarse que el acceso a las mismas la organizacin y como en varios casos se
hibernen automticamente despus de un comparte el espacio fsico personas no
cierto tiempo y pidan ingresar la contrasea. autorizadas pueden acceder a informacin en
estas maquinas.

Miembros del rea de TI Entrenar al personal de TI para implementar
y documentar control de acceso y
autenticacin de usuarios
Gerencia General Asignar fondos para entrenamiento sobre
Miembros del rea de TI acceso fsico.
Gerencia General La Gerencia General debe patrocinar esta
Gerencia de Tecnologa actividad y en colaboracin con el Gerente
de Tecnologa deben asignar a un miembro
del rea de TI para que realice este cambio.
183
Tabla 63: Hoja de Trabajo: Polticas de seguridad y regulaciones
rea de Mitigacin: Polticas de seguridad y regulaciones

de seguridad?
Incluir informacin sobre polticas y Nadie tiene clara la actual poltica de

Celular: (593-9) 1699699 Celular: (593)99 922000
procedimientos en el entrenamiento de seguridad, todas las dudas del personal se

seguridad. deben despejar en un entrenamiento de
seguridad dictado a todo el personal.
Crear procedimientos para hacer cumplir La conducta de las personas con respecto a
polticas de seguridad (Envo de correos al la seguridad solo cambiar si entienden
personal recordndoles polticas bsicas de cmo manejar y hacer cumplir los
seguridad) procedimientos de las polticas de seguridad
de la empresa.
Definir planes de recuperacin y Es importante que la empresa contine
contingencia. funciones criticas en caso de interrupcin
parcial .

actividad.
actividad.
Gerencia Tecnologa actividad y asignar a un miembro de TI.
183

Celular: (593-9) 1699699 Celular: (593)99 922000
3.5.1.3 Identificar cambios a la estrategia de proteccin

Despus de revisar las hojas de trabajo de Proteccin de Seguridad para determinar los cambios
desencadenados por las actividades de mitigacin; estas actividades se las describe a continuacin:
Contar con un programa de entrenamiento sobre conocimiento de seguridad que incluya manejo
colaborativo de seguridad, polticas y procedimientos que se realizan una vez al ao y al que
asista todo el personal.
Establecer polticas y procedimientos para la determinacin de roles y responsabilidades del
personal, los cuales se deben cumplir y respetar.
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Documentar formalmente planes y procedimientos para monitorear el acceso fsico al edificio y
la oficina de la empresa
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.
Mantener registros de mantenimiento para documentar reparaciones y modificaciones al
hardware.
software.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Planificar mantenimiento peridico del servidor donde se encuentra alojado el Portal de
Gerencia, esto debe estar documentado formalmente y se debe definir un encargado de realizar
esta actividad.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Implementar un mecanismo de vigilancia mediante el uso de cmaras para controlar el acceso de
personas no autorizadas a las oficinas.

Celular: (593-9) 1699699 Celular: (593)99 922000
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la
autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y
autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la
organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la
informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de
usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.

Celular: (593-9) 1699699 Celular: (593)99 922000
3.5.1.4 Identificar siguientes pasos

Tabla 64: Hoja de Trabajo: Identificar siguientes pasos
Considere:
Contribuir fondos para las actividades de seguridad de la informacin.
Asignar personal para las actividades de seguridad de la informacin.
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Permitir al personal recibir entrenamiento sobre seguridad de la informacin.
Hacer que la seguridad de la informacin sea una prioridad estratgica.
Gestin para la Monitorear la Ampliar la actual Siguiente evaluacin

mejora de la implementacin evaluacin de de riesgos en la
Seguridad riesgos en la seguridad de la
seguridad de la informacin
informacin
Qu debe hacer la Qu debe hacer la Expendera la actual Cundo conducir la
Gerencia para apoyar la informacin para rastrear el evaluacin OCTAVE-S para organizacin su siguiente
implementacin de los progreso y asegurar que los incluir activos crticos evaluacin OCTAVE-S?
resultados de Octave-S? resultados de esta adicionales? Cules?
evaluacin se implementen?
La Gerencia General Cada persona a la No se ha identificado La siguiente
de Pirmide Digital que se le asigne actividades para evaluacin se
debe: cumplir una expandir la actual realizar en tres
Asignar fondos actividad de evaluacin de aos.
mitigacin se debe riesgos.
para implementar hacer responsable de
el plan de fijar un cronograma
e implementar cada
mitigacin. plan, adicionalmente
Hacer que la se debe redactar un
reporte a presentarse
seguridad de la al concluir con dicha
actividad.

Celular: (593-9) 1699699 Celular: (593)99 922000
informacin se
convierta en una
prioridad de la
empresa.
Los Gerentes de
las distintas
reas de la
organizacin se
deben asegurar
que el personal
cuente con tiempo
suficiente para
participar en
cualquier
actividad
relacionada con
seguridad que se
les asigne.
Asignar
responsables
encargados de de
implementar y
documentar
control de acceso
y autenticacin
de usuarios.
Asignar
responsables
encargados de
monitorear el

Celular: (593-9) 1699699 Celular: (593)99 922000
acceso fsico al
edificio, reas de
trabajo,
hardware.
Cambiar al
procedimiento
para cumplir
polticas de
seguridad.
197
CAPITULO CUATRO
EVALUACIN DEL PLAN DE ACCIN Y ESTRATEGIA DE PROTECCIN
En este captulo se presentan el informe preliminar e informe final y ejecutivo dirigido al Gerente
General de Pirmide Digital Ca. Ltda. quien es la persona encargada de monitorear la
implementacin de los resultados obtenidos durante la ejecucin de la evaluacin de seguridad a la
empresa.
4.1 Elaboracin de Informe Preliminar y validacin del mismo por la

empresa
Quito, septiembre del 2013
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio de la presente, pongo a su disposicin el anlisis utilizando las metodologas COBIT 4.1
para analizar la situacin actual de la empresa y la evaluacin de amenazas crticas, activos y
vulnerabilidades que propone OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability
Evaluation) la que se ha realizado con ayuda de personas que trabajan en la empresa, en la que se ha
asumido la responsabilidad de establecer la estrategia de seguridad de la organizacin analizando la
informacin de la empresa para producir una estrategia de proteccin y planes de mitigacin basados
exclusivamente en los riesgos de seguridad operacional de la organizacin.
El equipo de trabajo y anlisis est conformado por:

Olga Pez

Celular: (593-9) 1699699 Celular: (593)99 922000
Mario Morillo
Olga Obando
Guillermo Obando
El informe redactado en base a COBIT 4.1 y OCATVE-S; COBIT4.1 describe la situacin actual de
la organizacin utilizando matrices de madurez para evaluar los siguientes dominios: planeacin y
organizacin, adquisicin e implementacin, entrega y soporte y monitoreo y evaluacin. OCTAVE
S describe los resultados de la evaluacin y se basa en cuatro ejes principales: conocimiento de
seguridad y entrenamiento, manejo colaborativo de la seguridad, monitoreo y auditora de la
seguridad fsica y autenticacin y autorizacin
A ms de presentarle el informe final e informe ejecutivo, me comprometo a aclarar cualquier duda
o a ampliar cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.
4.2 Elaboracin del Informe Final

El presente informe muestra los resultados de la evaluacin que establece COBIT 4.1 para realizar
un anlisis de la situacin de la empresa y OCTAVE-S para realizar una evaluacin de riesgos y
seguridad. A continuacin se presentan los resultados obtenidos:
Situacin actual de la empresa:
En base a las Matrices de Madurez aplicadas a los procesos seleccionados de Cobit 4.1 se ha
encontrado lo siguiente:
Dominio Planeacin y Organizacin
Es necesario implementar un plan estratgico, en el que se defina un proceso que permita identificar
y realizar actualizaciones del mismo. Se debe implementar una poltica de cmo y cundo se va a
realizar la planeacin estratgica de TI, la que debe ser conocida por todo el equipo de trabajo y se
debe garantizar que sea el plan que se realice sea factible y estructurado. La planeacin estratgica
debe ser discutida en reuniones con la Direccin y se debe contar con tcnicas y estndares comunes
para el desarrollo de la infraestructura tecnolgica. La estrategia general de TI, debe incluir una
definicin de los riesgos a los que est expuesta la organizacin.
Es importante que se difunda la necesidad de la planeacin tecnolgica para que exista un enfoque
en generar soluciones a problemas tcnicos que permitan satisfacer las necesidades del negocio Los
riesgos de TI relacionados al da a da a las diferentes operaciones de TI, deben ser discutidos
siempre en las reuniones con la Gerencia General; adems debe existir un enfoque de evolucin de
riesgos en desarrollo y debe ser implementado en discrecin del gerente de TI. El personal

Celular: (593-9) 1699699 Celular: (593)99 922000
encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin tecnolgica, a
travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un entrenamiento formal.
Debe tambin existir comunicacin de los roles de todos los empleados y sus responsabilidades,
especialmente de los empleados de la unidad de TI, quienes deben tener roles formalizados, los
cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la unidad de
TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento y las
habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para administrar
la organizacin de TI y sus relaciones con los dems departamentos, adems debe haber un deseo
emergente del personal de entender que los riesgos de TI son importantes y necesarios y deben ser
siempre considerados.
Dominio Adquisicin e Implementacin
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados parcialmente
con el proceso general de adquisicin de la organizacin del negocio, los que deben ser utilizados en
proyectos menores y deben ser usados como base para luego implementarlos en cada proyecto que
maneje la empresa. Se debe lograr que el proceso de administracin de cambio no sea un proceso
informal para evitar que el proceso no sea estructurado, rudimentario y propenso a errores, la
empresa debe reconocer la importancia de administrar sus proveedores y las distintas relaciones
entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos de
TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.
Dominio Entrega y Soporte
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad de
administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin y
administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las que
se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad
del coordinador es limitada. Se deben definir medidas para medir el desempeo, para poder analizar
la informacin que producen los sistemas relevantes al aspecto de seguridad. La seguridad del
departamento de TI se debe ver primordialmente como una responsabilidad y disciplina del rea de
TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear mecanismos
automticos de advertencia y deteccin, para su evaluacin continua, se debe contar con suficientes
pistas de auditora de problemas y soluciones, los cuales deben ser integrados con la administracin
de datos de configuracin, permitiendo de esta manera, la oportuna resolucin de los problemas
reportados, tambin hay que contar con informacin de los problemas pasados que ha enfrentado la
empresa y posibles problemas futuros, para optimizar la solucin de problemas internos de la
organizacin.
Dominio Monitoreo y Evaluacin
Nivel de Madurez: Cero

Celular: (593-9) 1699699 Celular: (593)99 922000
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo de
los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al usuario,
a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente de
control interno y asignar de manera formal las tareas para monitorear la efectividad de los controles
internos y evaluarlos en base a la necesidad de los servicios de informacin.
Los resultados encontrados al aplicar OCATVE-S son los siguientes:
Estrategia de proteccin actual:
Conocimiento de seguridad y entrenamiento: La actual estrategia de proteccin no est
definida apropiadamente para manejar los problemas del da a da que puedan surgir,
adicionalmente el personal no ha recibido un entrenamiento formal sobre seguridad y tampoco
existen mecanismos para rastrear y monitorear que los miembros del personal se entrenen en
temas de seguridad. Mejorar esta rea debe reducir las fuentes accidentales de amenazas internas.
Manejo colaborativo de la seguridad: Actualmente no existe una poltica para proteger

informacin cuando se trabaja con colaboradores y socios, contratistas y subcontratistas y
proveedores de servicios; tampoco se cuenta con mecanismos formales para verificar que
organizaciones de terceros cumplan con los requerimientos de la empresa.
No hay entrenamiento a disposicin del personal para el manejo colaborativo de seguridad,
polticas y procedimientos.
Monitorear y auditar seguridad fsica: No existen planes para controlar reas de trabajo,
hardware y software y tampoco se provee entrenamiento en esta rea. Con respecto a la
seguridad fsica, el departamento de seguridad del edificio World Trade Center es responsable
del acceso fsico a la empresa en la oficina en Quito y esta actividad est totalmente controlada.
Autenticacin y autorizacin: En la organizacin no se estaba usando un medio consistente

para controlar el acceso a redes y no se han definido procedimientos para restringir acceso a
usuarios ni que permisos debe tener que persona, el equipo estaba preocupado por las posibles
consecuencias de estas cuestiones.
Polticas de seguridad y regulaciones: No existen polticas documentadas relacionadas con

seguridad, un mecanismo formal para crear y manejar polticas ni procedimientos formales para
cumplir con polticas de seguridad, leyes, regulaciones o requisitos.

Celular: (593-9) 1699699 Celular: (593)99 922000
Despus de realizar la evaluacin de seguridad actual de la organizacin se realizo un plan de

mitigacin con actividades que se describen a continuacin:
Contar con un programa de entrenamiento sobre conocimiento de seguridad que incluya manejo
colaborativo de seguridad, polticas y procedimientos que se realizan una vez al ao y al que
asista todo el personal.
Establecer polticas y procedimientos para la determinacin de roles y responsabilidades del
personal, los cuales se deben cumplir y respetar.
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Documentar formalmente planes y procedimientos para monitorear el acceso fsico al edificio y
la oficina de la empresa
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.
hardware.
software.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Planificar mantenimiento peridico del servidor donde se encuentra alojado el Portal de
Gerencia, esto debe estar documentado formalmente y se debe definir un encargado de realizar
esta actividad.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Implementar un mecanismo de vigilancia mediante el uso de cmaras para controlar el acceso de
personas no autorizadas a las oficinas.

Celular: (593-9) 1699699 Celular: (593)99 922000
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la
autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y
autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la
organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la
informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de
usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.

Celular: (593-9) 1699699 Celular: (593)99 922000
Finalmente agradezco la apertura y colaboracin del personal para con este trabajo y estoy
convencida que ha sido un apoyo a su gestin y al desarrollo de su organizacin en corto, mediano y
largo plazo.

Celular: (593-9) 1699699 Celular: (593)99 922000
4.3 Elaboracin del Informe Ejecutivo

Quito, septiembre del 2013
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio del presente agradezco la apertura que usted me ofreci tanto a las instalaciones de
Pirmide Digital como a la informacin que se necesitaba para la elaboracin del presente proyecto
de investigacin. Entiendo el enorme esfuerzo que usted ha realizado en Pirmide Digital y espero
que el presente proyecto de investigacin sea de su utilidad y beneficio en el futuro.
Para realizar la evaluacin de riesgo y seguridad utilizando el enfoque que propone OCTAVE-S se
utilizaron tres fases: en la fase uno se construy un perfil de amenaza basado en los activos de la
empresa, la fase dos sirvi para identificar vulnerabilidades de la infraestructura y en la fase tres se
desarrollaron planes y estrategias de seguridad.
Despus de realizar la evaluacin utilizando la metodologa de OCTAVE-S, se concluye:
Contar con un programa de entrenamiento sobre conocimiento de seguridad para todo el
personal.
Definir polticas para determinar roles y responsabilidades del personal.
Documentar planes y procedimientos para monitoreo del acceso fsico y autenticacin de
usuarios.
Asegurarse que el personal conozca los procedimientos de seguridad.
Despus de terminar con la evaluacin, se concluye que la metodologa que propone Octave es la
mejor entre las opciones existentes ya que es flexible, cubre muchos mbitos y permite trabajar
directamente con el personal de la organizacin para asegurarse que los datos recolectados sean
lo ms acertados.
Hubo un excelente proceso de aprendizaje para todo el personal involucrado.
A ms de presentarle el informe ejecutivo, me comprometo a aclarar cualquier duda o a ampliar

cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.

Celular: (593-9) 1699699 Celular: (593)99 922000
CAPITULO CINCO
CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones
1. El trabajo realizado ha sido un gran proceso de aprendizaje para la empresa Pirmide Digital, su
Gerente General y para m; ya que el haber emprendido en esta experiencia que al principio
pareca un trabajo sencillo, se transform en una metodologa organizada realizada a travs de
una serie de tareas que planeadas, ejecutadas y transformadas en realidad sirven para minimizar
los riesgos dentro de la organizacin.
2. Se seleccion COBIT 4.1 para realizar un anlisis de la situacin actual de la empresa ya que es
un marco de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado
internacionalmente, el que se puede orientar a todos los sectores de una organizacin y sirve para
auditar la gestin de control de los sistemas de informacin.
3. Si bien se evalu COBIT 4.1, ISO 17799 y OCTAVE-S para realizar un anlisis de riesgos en la
organizacin, la utilizacin de OCTAVE-S, viendo hacia atrs, fue la ms acertada decisin
considerando el tamao de la empresa, el nmero del personal, el trabajo que desempean y el
tipo de negocios que desarrollan.
4. El proceso de aprendizaje dada la estructura de OCTAVE-S fue de fcil aplicacin una vez que
se tuvo en claro las diferentes fases de la metodologa, los procesos que se desarrollan en cada
fase y las distintas hojas de trabajo para recolectar informacin de cada proceso.
5. El equipo de Pirmide Digital con el que estuve involucrada durante la evaluacin de OCTAVE-
S recibi de una forma receptiva la informacin y absorbi de manera positiva todo lo planteado
lo que hizo que esta experiencia fuera fcil.
6. La metodologa para realizar una evaluacin de riesgos propuesta por OCTAVE-S es amplia ya
que involucra durante toda la evaluacin a personal de los altos directivos, directivos de reas
operativas y personal en general, lo que conlleva a que la perspectiva para analizar cada proceso
en cada fase sea amplia.
7. En funcin de la experiencia obtenida por parte de la empresa, se ha pensado incorporar a
OCTAVE-S como uno de sus servicios en su cartera de productos que ofrecen a sus clientes
dado que esta metodologa no es conocida ni explotada en el mercado.

Celular: (593-9) 1699699 Celular: (593)99 922000
8. Al terminar con la evaluacin se present al Gerente General un plan de mitigacin de riesgos,

obteniendo una buena respuesta de las partes.
9. El enfoque presentado en este proyecto de investigacin, es un proceso que se puede replicar en
cualquier otra empresa de similares caractersticas.
5.2 Recomendaciones
1. Pirmide Digital debe revisar el plan de mitigacin presentado peridicamente ya que a medida
que la tecnologa avanza, tambin crecen las amenazas y riesgos que deben ser considerados para
evitar problemas en el futuro.
2. Realizar una nueva evaluacin de riesgos utilizando OCTAVE-S cada tres aos.
3. Se debe hacer conocer a todo el personal de la organizacin el plan de mitigacin y los siguientes
pasos que se recomiendan en esta evaluacin.
4. Todo el personal debe asistir a cursos sobre seguridad de tal manera que todos tengan
conocimiento y sepan cmo actuar en caso de que se presente una amenaza a cualquier activo
crtico de la empresa.
5. Utilizar el proceso desarrollado en este plan de disertacin para realizar una evaluacin de
riesgos y seguridad para otras actividades y situaciones en otra empresa.
6. Evaluar otros activos crticos.
7. A la facultad, considero es importante se considere en el pensum de la carrera incorporar una
materia en la que se explique qu es la evaluacin de riesgos.

Celular: (593-9) 1699699 Celular: (593)99 922000

Celular: (593-9) 1699699 Celular: (593)99 922000
BIBLIOGRAFA
[1] J. Lozano, Seguridad de la Informacin. Riesgos, [En lnea]. Available:

www.elmayorportaldegerencia.com/documentos/188-tecnologias-de-informacion-y-
comunicacion. [ltimo acceso: 27 diciembre 2012].
[2] C. Alberts, Introduction to the Octave approach, [En lnea]. Available:

www.itgovernanceusa.com/files/ Octave.pdf . [ltimo acceso: 10 enero 2013].
[3] C. P. Woody, Applying Octave: Practitioners report, CMU/SEI-2006-TN-010, Pittsburg, PA,

2006.
[4] C. Alberts, Managing Information Security Risks: The Octave Approach, Estados Unidos:
Addison-Wesley Professional, 2002, pp. 123-127.
[5] A. Dorofee, Asset-Based information security risk assessments, Cutter Consortium, Enterprise
Risk Management and Governance Executive Report, Arlington MA, 2009.
Wesley Professional, 2002, p. 118.
[7] D. Bieber, The critical success factor method, [En lnea]. Available:
www.cert.org/archive/pdf/04tr010.pdf. [ltimo acceso: 24 enero 2013].
[8] J. Lozano, Seguridad de la Informacin, [En lnea]. Available: .

www.elmayorportaldegerencia.com/ documentos/188-tecnologias-de-informacion-y-
comunicacin. [ltimo acceso: 27 diciembre 2012].
[9] J. Lozano, Seguridad de la Informacin. Riesgos segunda parte, [En lnea]. Available:
www.elmayorportaldegerencia.com/ documentos/188-tecnologias-de-informacion-y-
comunicacin. [ltimo acceso: 27 diciembre 2012].

Celular: (593-9) 1699699 Celular: (593)99 922000
[10] E. Rosero, Introduccin a la seguridad de la informacin, [En lnea]. Available:

www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-
comunicacion/ . [ltimo acceso: 20 enero 2013].
Wesley Professional, 2002, p. 5.
[12] C. Alberts, Security Risk Analysis with Octave, [En lnea]. Available: Internet.
www.informit.com/articles/. [ltimo acceso: 25 enero 2013].
[13] P. Cevallos, Introduccin a defensa en profundidad y seguridad de la informacin TI, [En

lnea]. Available: www.repositorio.utn.edu.ec. [ltimo acceso: 27 enero 2013].
[14] N. Guayaquil, Estndar ISO 1779 y Norma ISO 27001, Quito, 2007, pp. 3-31.
[15] J. Mc Leod, Octave method, [En lnea]. Available: www.cert.org/octave. [ltimo acceso: 27
enero 2013].
[16] R. Arbelez, Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la

seguridad en las organizaciones, [En lnea]. Available:
www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05-
ModelosMadurezSeguridadInformatica.pdf. [ltimo acceso: 11 febrero 2013].
[17] M. Adler, Manual Cobit 4.1 en espaol, Rolling Meadows, 2007.
[18] C. Alberts, OCTAVE-S Implementation Guide: Example Scenario, vol. 10, Pittsburgh, PA,
2005.

Celular: (593-9) 1699699 Celular: (593)99 922000
ANEXO A: MATRICES DE MADUREZ DE COBIT

Proceso PO1: Definicin de un plan estratgico de tecnologa de TI
Proceso: PO1 Definicin de un plan estratgico de tecnologa de TI
La alta gerencia desconoce la necesidad de
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
0 Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la
gerencia TI?
La planificacin estratgica se elabora por un
requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
1 administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido
sustancialmente por la gerencia?
La planificacin estratgica se comparte
ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
2 demandas administrativas?
Hay procesos para identificar actualizaciones del
plan?
Dentro de la empresa los procesos de
planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando
y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el
3 personal?
Existe algn procedimiento para examinar el
proceso en una base regular?
La estrategia global TI incluye una definicin

Celular: (593-9) 1699699 Celular: (593)99 922000
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
4 por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
El plan estratgico est considerado dentro de

los objetivos comerciales de la empresa?
Existe una funcin de la planificacin
estratgica que est integrada con la planificacin
comercial?
5 El plan estratgico est diseado para ser
implementado a largo plazo?
El plan estratgico es verstil?
El plan estratgico est diseado respetando las
normas que rigen la empresa?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso PO3: Determinar la direccin tecnolgica

Proceso: PO3 Determinar la direccin tecnolgica
La empresa pone inters en planear la
Existe un plan de infraestructura?
Hay experiencia y conocimiento para realizar un
plan de infraestructura documentado y formal?
0 Existe personal capacitado en su organizacin
que tenga las habilidades y conocimientos para
realizar un plan de infraestructura?
Se entiende la importancia de planear un cambio
para focalizar correctamente los recursos?
Los directivos reconocen la necesidad de un plan
pero no lo tienen an?
El desarrollo de tecnologa est muy limitado?
Los directivos enfocan su atencin en la
1 necesidad de realizar planeacin?
La direccin de la tecnologa del negocio est a
cargo de vendedores o personas incorrectas?
La comunicacin es inconsistente sobre el
impacto en cambios de tecnologa?
Se comunica la necesidad y la importancia de
realizar un plan tecnolgico?
La planeacin se enfoca en solucionar
problemas tcnicos en vez de cumplir las
necesidades del negocio?
2 La evaluacin de cambios tecnolgicos est a

cargo de diferentes individuos que siguen
procesos similares?
Existe un entrenamiento formal y comunicacin
de los roles y responsabilidades?
Se reconoce en su organizacin que estn
apareciendo tcnicas y estndares comunes para
el desarrollo de la infraestructura?
Los directivos conocen sobre el plan de
El plan estratgico de TI est alineado con el
3 plan de infraestructura tecnolgica?
Se cre un plan de infraestructura tecnolgica
definido, documentado y bien comunicado pero

Celular: (593-9) 1699699 Celular: (593)99 922000
inconsistente para su aplicacin?

Los empleados y directivos entienden a donde se
dirige la organizacin considerando riesgos y
alineado con el plan estratgico?
Se seleccionan los mejores vendedores
considerando su experiencia y conocimiento para
la compra de tecnologa?
El plan estratgico de infraestructura tecnolgica
fue creado por gente con experiencia?
Se capacita de manera formal y especializada a
los nuevos empleados para que conozcan el plan
estratgico de la empresa?
Se tiene en cuenta el impacto del cambio de
tecnologa?
4 Se anticipa a los problemas y se asignan
responsables para cumplir y actualizar el plan de
Se introducen las mejores prcticas internas en

los procesos?
Se dirige la empresa utilizando estndares de la
industria?
Se administra con alto nivel los impactos que los
cambios de tecnologa generan?
5 Se aprueba de manera ejecutiva el cambio de
tecnologa?
Est formalizada la participacin en estndares?
Se utiliza de manera exhaustiva las mejores
prcticas de la industria?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso PO4: Definir procesos, organizacin y relaciones de TI

Proceso: PO4 Definir procesos, organizacin y relaciones de TI
La organizacin de TI se centra efectivamente a
0 enfocar el logro de los objetivos del negocio?
Las actividades y funciones de TI estn
implementadas, pero son inconsistentes?
Se ha definido una estructura organizacional,
roles y responsabilidades que estn
1 informalmente asignadas?
La funcin de TI se considera una funcin de
soporte que no incluye en su totalidad la
perspectiva de organizacin?
Existe un entendimiento implcito acerca de la
necesidad de implementar una organizacin de
TI?
Roles y responsabilidades no estn formalizados
o no se cumplen?
La funcin de la TI est organizada para
responder tcticamente, pero inconsistentemente?
2 La necesidad para una organizacin estructurada
y de administracin est vilmente comunicada,
pero las decisiones que se toman son
dependientes del conocimiento y de las
herramientas claves de uso individual?
Existen tcnicas emergentes comunes para
administrar la organizacin de TI y sus
relaciones?
Se han definido roles y responsabilidades para la
organizacin de la TI y de terceros?
La organizacin de la TI est desarrollada,
documentada, comunicada y alineada con la
estrategia de TI?
3 El diseo organizacional y el control interno del
entorno estn definidos?
Hay formalizacin de relaciones con otras partes
interesadas?
La organizacin de TI est funcionalmente
completa?
El personal de la TI tiene la experiencia y
4 formacin necesaria para desarrollar un plan de
infraestructura de tecnologa?

Celular: (593-9) 1699699 Celular: (593)99 922000
Existe un formal y especializado entrenamiento

para la investigacin de la tecnologa?
La responsabilidad para el desarrollo y
mantenimiento de un plan de infraestructura de
tecnologa podra ser asignada?
La estrategia de los recursos humanos est
alineada con la direccin de la tecnologa para
asegurar que el personal de la TI pueda manejar
los cambios de la tecnologa?
La direccin de TI est guiada por la industria y
estndares internacionales y de desarrollo?
Existe aprobacin ejecutiva formal de un nuevo
cambio de reglas tecnolgicas?
La entidad tiene un plan de infraestructura
robusta que refleje los requerimientos del
negocio?
5
Existe una continua y real mejora de los
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la tcnica de las TIs?
Proceso PO9: Evaluar y administrar riesgos de TI
Proceso: PO9 Evaluar y administrar riesgos de TI
Se realiza un anlisis sobre el riesgo de
0 imposicin de contribuciones para procesos y
decisiones del negocio?
La organizacin considera los impactos de
negocio asociados con vulnerabilidades de
seguridad y con desarrollo de proyectos inciertos?
El manejo de riesgos se ha visto identificado
como relevante para adquirir soluciones de TI y
deliberadamente servicios de TI?
La organizacin sabe de sus responsabilidades
1 tanto legal como contractual y riesgos,
considerndolos en una manera ad hoc?
El manejo de TI especifica las responsabilidades
para el manejo de riesgos en descripciones de
trabajo u otros significados informales?
La especificacin de TI relaciona riesgos tales
como seguridad e integridad y son
ocasionalmente considerados en un proyecto

Celular: (593-9) 1699699 Celular: (593)99 922000
como base principal del mismo?

Los riesgos de TI relacionados da a da a las
diferentes operaciones de la TI son
infrecuentemente discutidos en las reuniones de
la AG?
Los riesgos consideran que la mitigacin o
calma es inconsistente dentro del rea de TI?
2 Existe un deseo emergente de entender que los
riesgos de TI son importantes y necesarios para
ser considerados?
Hay algn acercamiento al riesgo de distribucin
de contribuciones existentes, dentro del rea de
TI?
El rea de TI define generalmente
procedimientos o descripciones de trabajo
gestionando con la Gerencia de TI?
La distribucin de contribuciones en las

diferentes operaciones de TI depende
mediticamente de un manejo creciente, por lo
que esta tiene una gran importancia dentro de la
3 agenda de trabajo?
El riesgo de distribucin de contribuciones
sigue un proceso definido que es documentado y
reconocido por todo el personal a travs del
entrenamiento?
Las decisiones que se toman a consideracin por
la AG son salidas efectivas a una posible crisis
dentro de la TI?
La metodologa es convincente y segura?
Todos los proyectos que fueron cubiertos o estn
en operacin son examinados sobre una base de
riesgos?
El manejo de la poltica de una organizacin
grande define cundo y cmo debe conducirse los
riesgos de distribucin de contribuciones?
4 La distribucin de contribuciones de riesgo es un
procedimiento y excepciones a seguir por la AG?
El manejo de los riegos de TI est definido en
funcin con el nivel de responsabilidad de la AG?
La AG es notificada de los cambios en el
entorno de la TI lo cual puede significativamente
afectar al escenario de riegos?
La AG es capaz de monitorear la posicin de
5 riesgo y adoptar una decisin acertada que sea

Celular: (593-9) 1699699 Celular: (593)99 922000
acogida por el personal de la TI?

El manejo efectivo de una base de datos de
riegos est debidamente establecido?
La distribucin de contribuciones habra de
desarrollar una organizacin la cual siga
regularmente el buen manejo de su estructura?
El anlisis y reporte de riegos son altamente
automatizados?
El manejo de riegos es verdaderamente
aceptable y extensible para los miembros de la
USI?
Proceso AI5: Instalar y acreditar sistemas

Proceso: AI5 Instalar y acreditar sistemas
La empresa tiene un proceso formal de
instalacin de nuevas tecnologas tanto de
hardware como de software?
La empresa posee un proceso formal que
0 verifica que la solucin sea adecuada y est
alineada con los objetivos de TI?
El personal reconoce la necesidad de verificar si
las soluciones que se dan encajan con el propsito
deseado?
La empresa reconoce la necesidad de verificar y
confirmar que las soluciones que se implementen
contribuyen al propsito deseado?
1 La empresa realiza pruebas para algunos
proyectos?
La empresa depende de iniciativas del equipo
del proyecto para realizar las pruebas?

Celular: (593-9) 1699699 Celular: (593)99 922000
Los resultados que obtiene la empresa al realizar

las pruebas usualmente varan?
La empresa tiene una acreditacin formal y estar
fuera de lnea es espordico o inexistente?
La empresa tiene alguna consistencia entre la
comprobacin y la acreditacin?
La empresa basa sus pruebas en metodologas?
Existe normalmente una ausencia de

2 comprobacin de la integracin?
Existe cierto proceso de la aprobacin informal,
no necesariamente basado en un criterio
regularizado?
Existe una acreditacin formal y estar fuera de
lnea es aplicado incoherentemente?
Est implementada una metodologa formal
relacionada con la instalacin, migracin,
conversin y existe una aceptacin?
Existe la habilidad de mantener un
cumplimiento en la administracin?
Se encuentran integrados y de alguna forma
automatizados los procesos de Instalacin y
acreditacin de TI dentro del ciclo de vida del
3 sistema?
Los entrenamientos, pruebas y la transicin entre
el estado de produccin y acreditacin varan de
los procesos definidos, y se basan en decisiones
individuales?
Es inconsistente la calidad de los sistemas que
ingresan a la etapa de produccin, generando as
problemas de post-implementacin?
Los procesos se encuentran formalizados y
desarrollados para encontrarse bien organizados y
ser prcticos, con ambientes de prueba y procesos
de acreditacin definidos?
La evaluacin para alcanzar los requerimientos
de usuario est estandarizada y puede ser medida?
4 La calidad de los sistemas que ingresan a la
etapa de produccin es satisfactoria para la
administracin?
Se emplean evaluaciones post-implementacin
ni revisiones continuas de calidad?
El sistema de pruebas refleja de forma adecuada
el ambiente real?

Celular: (593-9) 1699699 Celular: (593)99 922000
Los procesos de instalacin y acreditacin se

encuentran refinados a un nivel de las mejores
prcticas, basados en una continua mejora y
refinamiento?
Los procesos de instalacin y acreditacin de TI
estn integrados en el ciclo de vida del sistema y
automatizados?
Se disponen de ambientes de prueba bien
desarrollados y los procesos de registro de
problemas y fallas aseguran una transicin de
eficiencia y efectividad hacia el ambiente de
5 produccin?
La acreditacin se da con una mnima necesidad
de reformularla y los problemas post-
implementacin son correcciones menores?
Las revisiones de post-implementacin son
estandarizadas y son retroalimentadas hacia los
procesos para asegurar una continua mejora en
cuanto a la calidad?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso AI6: Administrar cambios

Proceso: AI6 Administrar cambios
Existe un proceso definido de administracin de
0 cambio y estos cambios se pueden realizar
virtualmente sin control?
Existen polticas de administracin y control de
cambios tecnolgicos en la organizacin?
Se sigue algn proceso consistente a seguir para
el control de cambios tecnolgicos?
Cambia continuamente el proceso de cambios
1 tecnolgicos en la organizacin?
Se requiere de autorizacin superior para
ejecutar cambios de tecnologa?
Cundo un cambio de tecnologa se ejecuta en la
organizacin, es necesario documentar el mismo?
Existe un proceso formal definido para el
proceso de administracin y control de los
cambios?
De existir este proceso, est estructurado
formalmente?
2 Considera que la documentacin de
configuracin es precisa y consistente?
Considera que las tareas de planeamiento e
impacto son prioritarias a los cambios?
Existe frecuentemente un re-doble de trabajo, en
tareas ya efectuadas?
Existe un proceso formalmente definido para la
El proceso de administracin de cambios incluye

priorizacin, categorizacin, control de
contingencias, autorizacin de cambios y
administracin de lanzamientos?
Considera que el proceso de administracin de
3 cambios es siempre prctico y aplicable?
Ocurren cambios sin autorizacin
ocasionalmente?
Existe un anlisis operacional del impacto que
causan los cambios tecnologa en el negocio?
Se sigue de forma consistente el proceso de
4 administracin de cambios, confa que en el

Celular: (593-9) 1699699 Celular: (593)99 922000
mismo no hay excepciones?

El proceso de administracin de cambios
mantiene procesos y controles manuales para
asegurar calidad?
Estn sujetos los cambios a reducir la
posibilidad de problemas post-produccin, a
travs de las tareas de planificacin e impacto?
Considera que las tareas planeamiento e impacto
son prioritarias a los cambios?
El monitoreo de cambios es un proceso formal
dentro de los documentos de administracin de
cambios?
Se actualiza regularmente el proceso de

El proceso de administracin de cambios cambia
de acuerdo a la lnea de las "mejores prcticas"?
La informacin de configuracin se encuentra
implementada en una aplicacin para controlar la
5 misma?
El monitoreo de la configuracin y de la
administracin de lanzamientos, incluye
herramientas para la deteccin de software sin
licencia o sin autorizacin?
La administracin de cambios tecnolgicos est
integrada a los cambios del negocio?
Proceso DS1: Definir y administrar niveles de servicio

Celular: (593-9) 1699699 Celular: (593)99 922000

Proceso: DS1 Definir y administrar niveles de servicio
La administracin ha reconocido la necesidad de
un proceso para definir niveles de servicio?
Estn asignados responsables cuando existen
problemas en los procesos?
Estn asignadas las responsabilidades para la
0 administracin de servicios?
Estn definidos los niveles de servicio?
La administracin conoce sobre las obligaciones
y responsabilidades que tiene en cuanto a niveles
de servicio?
Existe conciencia de la necesidad de administrar
niveles de servicio?
El proceso para la administracin de Niveles de
Servicio es informal?
1 Est definida informalmente la rendicin de
cuentas del desempeo de monitoreo?
Las mediciones del desempeo son cualitativas?
El reporte del desempeo es frecuente?
Existen acuerdos celebrados sobre el nivel de
servicio?
El reporte de nivel de servicio es relevante y
completo?
El reporte de nivel de servicio depende de las
2 habilidades de los administradores individuales?
Se debera nombrar un coordinador de nivel de
servicio?
El proceso de cumplimiento del acuerdo de nivel
de servicio es voluntario?
Estn bien definidas las responsabilidades de la

administracin de nivel de servicio?
El proceso de desarrollo de los acuerdos de nivel
de servicio est establecido con puntos de
verificacin?
3 Estn definidos con los usuarios los criterios de
niveles de servicios?
Estn identificadas las carencias de nivel de
servicio?
El nivel de servicio puede resolver las
necesidades especficas de la organizacin?
La satisfaccin del cliente se determina de
4
Celular: (593-9) 1699699 Celular: (593)99 922000
manera rutinaria?
Las medidas de desempeo reflejan las metas de
TI?
Estn estandarizados los criterios de medicin
de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Estn entendidos con claridad los riesgos
operativos?
Los niveles de servicio son reevaluados
constantemente?
Todos los procesos de nivel de servicio estn
sujetos a procesos de mejoramiento?
Un criterio para definir niveles de servicio es
5 basarse en la criticidad del negocio?
Los niveles de satisfaccin del cliente son
monitoreados?
Los niveles de servicio esperados son evaluados
contra las normas de la industria?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso DS5: Garantizar la seguridad de los sistemas

Proceso: DS5 Garantizar la seguridad de los sistemas
La empresa reconoce la necesidad de seguridad
para el rea de TI?
Se asignan responsabilidades para encargarse de
la seguridad?
Existe la implementacin de medidas que
0 soporten la administracin de TI?
La empresa posee un proceso de administracin
para la seguridad de TI?
Existen procesos de reportes y soluciones para
problemas de seguridad en TI?
La empresa reconoce la necesidad de la
seguridad en TI?
La seguridad es administrada segn criterios del
individuo responsable?
Las responsabilidades para la administracin de
1 seguridad en TI son confusas?
Hay una persona responsable para la
administracin de problemas de seguridad?
Las soluciones para problemas de seguridad son
previsibles?
Las responsabilidades de seguridad de TI son
asignadas a un coordinador de seguridad sin
autoridad de gerencia?
El reporte de la seguridad es pertinente?
El conocimiento acerca de la seguridad es
2 fragmentado y limitado?
La informacin de la seguridad es generada pero
no analizada?
Las polticas de seguridad estn siendo
desarrolladas pero se utilizan tcnicas y
herramientas inadecuadas?
La Empresa promueve el conocimiento acerca
de la seguridad?
Los informes de la seguridad se han formalizado
y se han estandarizado?
3 Los procesos de seguridad de TI estn definidos
y es complemento de la estructura de polticas y
procedimientos de seguridad?
son asignadas pero no consistentemente

Celular: (593-9) 1699699 Celular: (593)99 922000
cumplidas?
Existe un plan de seguridad conduciendo a

anlisis de riesgo y soluciones de seguridad?
son claramente asignadas, administradas y
ejecutadas?
Las polticas y prcticas de seguridad son
completas, con especficas y bases de seguridad?
Los informes sobre la seguridad de TI se han
4 convertido en una obligacin?
La Empresa establece la certificacin de
seguridad en el personal?
Los procesos de la seguridad de TI son
coordinados con la funcin global de seguridad
de la empresa?
Los requerimientos de seguridad de TI estn
claramente definidos, optimizados e incluidos en
el plan de seguridad?
Los incidentes de seguridad de TI son tratados
puntualmente con los procedimientos
formalizados soportados por herramientas
automatizadas?
5 Los procesos de seguridad y tecnologas estn
integrados totalmente a la empresa?
Las funciones de seguridad se integran con las
aplicaciones en la etapa de diseo?
Las pruebas de intrusin, anlisis de causalidad
y la identificacin de riesgos no estn
perfectamente implementadas?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso DS10: Administrar los datos

Proceso: DS10 Administrar los datos
Hay conciencia de la necesidad de administrar
problemas e incidentes?
El proceso de resolucin de problemas es
informal?
0 Los usuarios y el personal de TI resuelven los
problemas de manera individual?
Los problemas se resuelven caso por caso?
Existen procesos para el manejo de incidentes?
La organizacin ha reconocido que hay una
necesidad de resolver problemas y de evaluar los
incidentes?
Las personas con conocimientos clave proveen
alguna asistencia con los problemas relacionados
con su rea de experiencia y responsabilidad?
La informacin es compartida con otros y las
soluciones varan de una persona de soporte a
1 otra?
Con medidas equivocadas se da la creacin de
ms problemas y la prdida de tiempo productivo,
mientras se buscan las respuestas?
La administracin cambia frecuentemente el
enfoque y la direccin de las operaciones y el
personal de soporte tcnico?
Hay una amplia conciencia de la necesidad de

administrar los problemas e incidentes
relacionados con TI?
El proceso de resolucin ha evolucionado hasta
un grado en que unas pocas personas claves son
responsables de administrar los problemas e
incidentes que ocurren?
La informacin es compartida entre el personal;
2 sin embargo, el proceso sigue sin estructuracin,
es informal y mayormente reactivo?
El nivel de servicio para la comunidad de
usuarios vara y es obstaculizado por insuficientes
conocimientos estructurados disponibles para
quienes resuelven los problemas?
El reporte de la administracin de incidentes y el

Celular: (593-9) 1699699 Celular: (593)99 922000
anlisis de la creacin de problemas es limitado e

informal?
La necesidad de un sistema efectivo de

administracin de problemas es aceptada y
evidenciada por presupuestos para la contratacin
de personal?
Los procesos de resolucin, escalamiento y
resolucin de problemas han sido estandarizados,
pero no son sofisticados?
Los usuarios han recibido comunicaciones claras
3 sobre dnde y cmo reportar sobre problemas e
incidentes?
El registro y rastreo de problemas y sus
resoluciones es fragmentado dentro del equipo de
respuestas, usando las herramientas disponibles
sin centralizacin o anlisis?
Es probable que las desviaciones de las normas
o estndares establecidos pasen desapercibidas?
El proceso de administracin de problemas es
entendido en todos los niveles dentro de la
organizacin?
Las responsabilidades son claras y establecidas?
Los mtodos y procedimientos estn
documentados, comunicados y medidos por
4 efectividad?
La mayora de los problemas e incidentes estn
identificados, registrados, reportados y analizados
en busca de constante mejoramiento y son
reportados a las partes interesadas?
La capacidad de responder a los incidentes es
probada peridicamente?
El proceso de administracin de problemas ha
evolucionado en un proceso que mira hacia
adelante y es proactivo, contribuyendo a los
objetivos de TI?
Los problemas son anticipados y pueden incluso
ser prevenidos?
5 El conocimiento es mantenido, a travs de
contactos regulares con vendedores y expertos,
respecto de patrones de problemas e incidentes
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
Celular: (593-9) 1699699 Celular: (593)99 922000
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso ME1: Monitorear el desempeo de TI

Proceso: ME1 Monitorear el desempeo de TI
La organizacin cuenta con un proceso de
monitoreo?
El rea de TI desarrolla independientemente un
0 monitoreo de proyectos o procesos?
Se reconoce la necesidad de objetivos de
procesos claramente entendibles?
Se reconoce la necesidad de colectar y
determinar informacin acerca de procesos de
monitoreo?
Se han identificado procesos determinados y una
coleccin estndar?
Se implementa un monitoreo constante
solamente cuando un incidente causa alguna
1 perdida a la organizacin?
Se implementa el monitoreo para los procesos de
TI y tan solo para servicios de informacin de
otros departamentos?
La definicin del proceso y el monitoreo se
ajustan a las necesidades de los servicios de
informacin?
Han sido identificadas algunos parmetros para
monitorear?
Se ha adoptado una coleccin de mtodos y
tcnicas, pero no por toda la organizacin?
La planeacin y administracin es realizada por
el expertise de individuos claves?
2 Algunas herramientas son implementadas y
usadas pero se limita el uso por falta del expertise
en el manejo?
La funcin de servicios de informacin es
manejada como un centro que genera costos y no
beneficia a la organizacin?
La administracin ha institucionalizado y
comunicado los estndares para monitorear
procesos?
Un programa de educacin y entrenamiento para
3 monitorear ha sido implementado?
Han sido implementadas herramientas para
monitorear el nivel de servicio y procesos de TI?
Han sido definidos parmetros para medir la

Celular: (593-9) 1699699 Celular: (593)99 922000
contribucin del nivel de servicio en la

organizacin?
Han sido implementados los parmetros para
medir la satisfaccin del cliente y del nivel de
servicio en las entidades?
La gerencia define tolerancias en las cuales los
procesos deben operar?
Lineamientos base de resultados de monitoreo
son estandarizados y normalizados?
Existe integracin de las mtricas entre
proyectos TI y procesos?
4 Se define un marco para identificar estrategias
orientadas a procesos como KGIs, KPIs, y CSFs
para realizar mediciones?
Se ejecutan criterios de aprendizaje tales como
financieros, operacionales, de consumidores y
organizacional?
Se mejora el proceso para actualizar el
monitoreo de estndares, polticas y mejores
prcticas en la organizacin?
Todos los procesos de monitoreo son
optimizados y soportan objetivos globales de la
organizacin?
KGIs, KPIs, y CSFs son usados continuamente
5 para realizar mediciones y se alinean con el
trabajo estratgico?
Procesos de monitoreo y rediseos en
movimiento son consistentes con planes ya
desarrollados de mejoramiento?
Bancos de prueba contra la industria y
competidores claves se formalizan y comparan?

Celular: (593-9) 1699699 Celular: (593)99 922000
Proceso ME2: Monitorear y evaluar el control interno

Proceso: ME2 Monitorear y evaluar el control interno de TI
La organizacin posee procedimientos para
monitorear la efectividad de los controles
internos?
Los mtodos de reporte de control interno de
administracin estn presentes en su
organizacin?
0 Hay una ausencia general de conciencia de la
seguridad operativa?
La administracin y los empleados tienen
conciencia de los controles internos?
Hay una ausencia general del aseguramiento de
control interno de TI?
Existe un compromiso de parte de la
administracin para la seguridad operativa
regular?
Se aplica ad hoc en la experiencia individual en
determinar la adecuacin de control interno?
La administracin de TI ha asignado
1 formalmente la responsabilidad de monitorear la
efectividad de los controles Internos?
Las evaluaciones de control interno de TI son
realizadas como parte de auditoras financieras
tradicionales?
Existe un monitoreo adecuado dentro de la
empresa?
La organizacin usa reportes informales de
control para iniciar iniciativas de accin
correctiva?
Los procesos de planificacin y administracin
estn definidos?
2 La evaluacin depende de los conjuntos de
habilidades de las personas clave?
La organizacin tiene una mayor conciencia del
La administracin ha comenzado a establecer
mtricas bsicas?
La administracin soporta y ha
institucionalizado un monitoreo de control
3 interno?
Se han desarrollado polticas y procedimientos
para evaluar y reportar sobre las actividades de

Celular: (593-9) 1699699 Celular: (593)99 922000
control interno?
No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?
Se han establecidos revisiones peridicas para el
monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
La organizacin estableci niveles de tolerancia
para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
4 cada vez ms automatizadas en los procesos de
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control
interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que
son integradas y actualizadas?
Est formalizada la participacin de los
5 conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?

Celular: (593-9) 1699699 Celular: (593)99 922000
ANEXO B: HOJAS DE TRABAJO OCTAVE-S

Hoja de Trabajo. Impacto de los criterios de la evaluacin: Reputacin y Confianza del Cliente
Reputacin/Confianza del Cliente
Reputacin La reputacin de la La reputacin de la La reputacin de la
empresa se afecta en empresa se daa, y empresa est
un mnimo porcentaje, esfuerzo y un poco irremediablemente
poco o nada de de gasto destruida o daada.
esfuerzo o gasto es econmico se
necesario para requiere para
recuperarse si se recuperarse.
presenta la situacin de
prdida de confianza
del cliente.
Prdida de Menos del ____% de Del ____ al ___% Ms del ____% de
clientes reduccin de clientes de reduccin de reduccin de clientes
debido a la prdida de clientes debido a la debido a la prdida
confianza. prdida de de confianza.
confianza
Otro:
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Finanzas

Finanzas
Costos operativos Aumento de menos de Gastos anuales de Anualmente los
____% anual en costos costos operativos costos operativos
operativos aumentan del ____ aumentan el ____%
al ___%

Celular: (593-9) 1699699 Celular: (593)99 922000
Prdida de Menos de ____% de De ____ al ___% Mayor del ____%en

ingresos prdida de ingresos de prdida de prdida de ingresos
anuales ingresos anuales anuales
Prdida financiera Prdida financiera de Prdida financiera Prdida financiera

menos de $ ____ de $ ____ al $___ mayor a $____
Otro:

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Productividad

Productividad
Horarios del El horario del personal El horario del El horario del
personal se increment menos personal se personal se
del ____% en ___ increment entre el increment en ms
da(s) ____ al ____% en de un ____% en ___
___ da(s) da(s)
Otro:
Otro:
Otro:

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Seguridad/Salud

Seguridad/Salud
Vida No hay prdida o La vida de los Prdida de vidas de
amenaza significativa miembros del miembros del
en la vida del personal personal se ven personal
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Salud Degradacin mnima, Discapacidad Deterioro
inmediatamente temporal o permanente de la
tratable de la salud de recuperable de la salud de miembros
los miembros del salud de del personal
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad Seguridad cuestionada Seguridad afectada Seguridad violada
Otro:
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales

Multas/Sanciones Legales
Multas Multas inferiores a Multas entre Multas mayores a
$_____ son recaudadas $_____ y $_____ $_____ son
son recaudadas recaudadas

Celular: (593-9) 1699699 Celular: (593)99 922000
Demandas Demandas no frvolas Demandas no Demandas no

de menos de $ ____ frvolas entre frvolas mayores a
son presentadas en $_____ y $_____ $_____ son
contra de la son presentadas presentadas en
organizacin en contra de la contra de la
organizacin organizacin
Investigaciones No hay preguntas El gobierno u otras El gobierno u otras
formuladas por el organizaciones de organizaciones de
gobierno u otras investigacin investigacin inician
organizaciones de requieren una investigacin de
investigacin informacin o alto perfil y en
records de la profundidad de las
empresa prcticas de la
organizacin
Otro:

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Identificacin de activos organizacionales: Informacin, Sistemas y

Aplicaciones
Informacin, Sistemas y Aplicaciones
Sistema Informacin Aplicaciones y Otros Activos
Servicios
Qu sistemas la gente Qu informacin la gente en Qu aplicaciones y Qu otros activos estn
en su organizacin su organizacin necesita para servicios la gente en su relacionados directamente con
necesita para realizar su realizar su trabajo? organizacin necesita para estos activos?
trabajo? realizar su trabajo?

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Identificacin de activos organizacionales: Gente

Gente
Gente Habilidades y Sistemas Activos
Conocimiento Relacionados Relacionados
Qu personas tienen una Cules son sus Qu sistemas utilizan estas
habilidad o conocimiento habilidades o personas? Qu otros activos usan
especial que es vital para su conocimientos? estas personas (Ejemplo:
organizacin y puede ser informacin, servicios o
muy difcil de reemplazar? aplicaciones)

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Seguridad, Concientizacin y Entrenamiento

Seguridad, Concientizacin y Entrenamiento
en esta rea?
Los miembros del Si Rojo

personal Algo Amarillo
comprendan sus No Verde
roles de seguridad y No se sabe No aplica
responsabilidades.
Esto est
documentado y
verificado.
Hay suficiente Si
experiencia interna Algo
para todas las No
versiones servicios, No se sabe
mecanismos y
tecnologas. Esto
est documentado y
verificado.
Existe una Si
conciencia de Algo
seguridad, No
capacitacin y No se sabe
recordatorios
peridicos, los que
se proporcionan
para todo el
personal. El
entendimiento del
personal est
documentado y se
verifica
peridicamente.

Celular: (593-9) 1699699 Celular: (593)99 922000
Los miembros del Si

personal siguen Algo
buenas prcticas No
como: No se sabe
Asegurar
informacin de
la que son
responsable
No divulgar
informacin
confidencial a
otros
Tener capacidad
suficiente para
utilizar la
informacin
tecnologa de
hardware y
software
Uso de buenas
prcticas para
definir
contraseas
Entender y
seguir las
polticas de
seguridad y los
reglamentos
Reconocer y
reportar
incidentes

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Estrategia de Seguridad

Estrategia de Seguridad
las prcticas
en esta rea?
Las estrategias Si . Rojo

comerciales de la Algo Amarillo
organizacin No Verde
incorporan No se sabe No aplica
consideraciones de
seguridad.
Las estrategias y Si
polticas de Algo
seguridad toman en No
cuenta las No se sabe
estrategias y
objetivos del
negocio de la
organizacin.
Las estrategias de Si
seguridad, metas y Algo
objetivos son No
documentados y se No se sabe
revisan de forma
rutinaria, se lo
actualiza y se
comunica a todos
los involucrados en
la organizacin.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Gestin de la Seguridad

Gestin de la Seguridad
las prcticas
en esta rea?
La Gerencia asigna Si Rojo

fondos y recursos Algo Amarillo
suficientes para No Verde
actividades de No se sabe No aplica
informacin de
seguridad.
Los roles y Si
responsabilidades Algo
de seguridad se No
definen para todo el No se sabe
personal de la
organizacin.
Todo el personal en Si
todos los niveles de Algo
responsabilidad No
pone en prctica sus No se sabe
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares

Celular: (593-9) 1699699 Celular: (593)99 922000
donde la
informacin reside.
Las prcticas de Si
contratacin y Algo
terminacin de No
personal en la No se sabe
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin Si
gestiona los riesgos Algo
de seguridad de la No
informacin: No se sabe
Evala los
riesgos para la
seguridad de la
informacin
Toma medidas
para mitigar
riesgos de
seguridad de la
informacin
Gerencia recibe y Si
acta sobre los Algo
informes de rutina No
relacionados con la No se sabe
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Polticas de Seguridad y Regulaciones

Polticas de Seguridad y Regulaciones
en esta rea?
La organizacin Si Rojo
cuenta con un Algo Amarillo
amplio conjunto de No Verde
polticas actuales No se sabe No aplica
que peridicamente
son revisadas y
actualizacin.
Hay un Si
procedimiento Algo
documentado de No
gestin de las No se sabe
polticas de
seguridad, que
incluye:
Creacin
Administracin
(revisiones
peridicas y
actualizaciones)
Comunicacin
La organizacin Si
dispone de un Algo
procedimiento No
documentado para No se sabe
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
regulaciones

Celular: (593-9) 1699699 Celular: (593)99 922000
aplicables, y
requisitos de
seguro.
La organizacin Si
uniformemente Algo
refuerza sus No
polticas de No se sabe
seguridad.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Plan de Contingencia/Recuperacin de Desastres

Plan de Contingencia/Recuperacin de Desastres
en esta rea?
Se ha realizado un Si Rojo
anlisis de las Algo Naranja
operaciones, las No Verde
aplicaciones y los No se sabe No aplica
datos crticos.
La organizacin ha Si
documentado, Algo
revisado y probado: No
Planes de No se sabe
continuidad del
negocio y de
operacin en
caso de
emergencia
Plan de
recuperacin de
desastres (s)
Los planes de Si
contingencia, Algo
recuperacin de No
desastres y de No se sabe
negocios
consideran la
continuidad fsica y
electrnica y los
requisitos de

Celular: (593-9) 1699699 Celular: (593)99 922000
acceso y controles.
Todo el personal: Si
Esta consciente Algo
No
de los planes de No se sabe
recuperacin de
desastres
imprevistos y
continuidad del
negocio.
Comprende y
es capaz de
realizar sus
responsabilidad
es
Hoja de Trabajo. Prcticas de seguridad: Control de Acceso Fsico

Control de Acceso Fsico
rea? las prcticas
en esta rea?

Celular: (593-9) 1699699 Celular: (593)99 922000
Si alguien del Si Rojo

rea: No se sabe No aplica
Planes de seguridad
de las instalaciones
y procedimientos
para salvaguardar
las instalaciones,
edificios y
cualquier zona
restringida y estn
documentados y
probados.
Hay polticas y Si
procedimientos Algo
la gestin de los No se sabe
visitantes.
Hay polticas y Si
procedimientos Algo
controlar el acceso No se sabe
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Las estaciones de Si
trabajo y otros Algo
componentes que No
permiten acceso a No se sabe
la informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red

Gestin del Sistema y la Red
rea? las prcticas
en esta rea?

Existen planes de
seguridad para
salvaguardar el
sistema y las redes.
La informacin Si
confidencial est Algo
protegida en un No
almacenamiento No se sabe
seguro (por
ejemplo, copias de
seguridad
almacenadas en
otro sitio).
La integridad del Si
software instalado Algo
es regularmente No
verificada. No se sabe
Todos los sistemas Si

estn actualizados a Algo
la fecha de acuerdo No
con revisiones, No se sabe
parches y

Celular: (593-9) 1699699 Celular: (593)99 922000
recomendaciones
de seguridad.
Existe un plan Si
documentado y Algo
comprobado para la No
copia de seguridad No se sabe
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios Si
de hardware y Algo
software son No
planeados, No se sabe
controlados y
documentados.
Los miembros del Si
rea de TI siguen Algo
procedimientos No
para cambiar y dar No se sabe
de baja
contraseas,
cuentas y
privilegios.
Solo servicios Si
necesarios estn Algo
corriendo en los No
sistemas, todos los No se sabe
servicios que no
son necesarios han
sido eliminados.
Herramientas y Si
mecanismos para el Algo
sistema de No
seguridad y No se sabe
administracin de
la red que se
utilizan, se revisan
de manera

Celular: (593-9) 1699699 Celular: (593)99 922000
rutinaria, se
actualizan o
reemplazan.
Hoja de Trabajo. Prcticas de seguridad: Monitoreo y Auditora de la Seguridad de TI

Monitoreo y Auditora de la Seguridad de TI
las prcticas
en esta rea?

Sistema y red de
monitoreo y
herramientas de
auditora son
habitualmente
utilizados por la
organizacin.
Actividades
extraas se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.

Celular: (593-9) 1699699 Celular: (593)99 922000
Componentes del Si
Firewall y otros Algo
componentes de No
seguridad son No se sabe
auditados
peridicamente
para revisar el
cumplimiento de
polticas.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Manejo de la Vulnerabilidad

Manejo de la Vulnerabilidad
en esta rea?

Hay un conjunto de
procedimientos
documentados para
manejo de
vulnerabilidades,
para:
Selecciona
r las
herramientas de
evaluacin de
vulnerabilidad,
listas de control
y secuencias de
comandos
Manteners
e al da con la
vulnerabilidad
conocida, tipos y
mtodos de
ataque

Celular: (593-9) 1699699 Celular: (593)99 922000
Revisar las
fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas de
seguridad y
comunicaciones
Identificaci
n de los
componentes de
infraestructura a
ser evaluado
Programar
evaluaciones de
vulnerabilidad
interpretar
y responder a los
resultados
mantener
un
almacenamiento
seguro y la
disposicin de
datos vulnerables
Se siguen Si
gestin de No
vulnerabilidades los No se sabe
que son
peridicamente
revisados y

Celular: (593-9) 1699699 Celular: (593)99 922000
actualizados.
Evaluaciones de Si
tecnologa Algo
vulnerable se No
realizan en forma No se sabe
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Encriptacin

Encriptacin
rea? las prcticas
en esta rea?

Controles
apropiados de
seguridad se
utilizan para
proteger
informacin
sensible
durante el
almacenamient
o y durante la
transmisin
(por ejemplo,
el cifrado de
datos,
infraestructura
de clave
pblica,
tecnologa de

Celular: (593-9) 1699699 Celular: (593)99 922000
red privada
virtual).
Se utilizan Si
protocolos de Algo
cifrado cuando se No
maneja sistemas, No se sabe
routers y firewalls
a distancia.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Seguridad de Diseo y Arquitectura

Seguridad de Diseo y Arquitectura
rea? las prcticas
en esta rea?

Arquitectura del
sistema y diseo
para sistemas
nuevos y revisados
incluyen las
siguientes
consideraciones:
Estrategi
as de
seguridad,
polticas y
procedimientos
Antecede
ntes de
compromisos
de seguridad.
Resultad
os de las
evaluaciones
de riesgos de
seguridad.

Celular: (593-9) 1699699 Celular: (593)99 922000
La organizacin Si
tiene diagramas Algo
que muestran la No
seguridad en toda No se sabe
la empresa y la
arquitectura de red
que estn
actualizados.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Manejo de Incidentes

Manejo de Incidentes
las prcticas
en esta rea?

Existen
procedimientos
documentados
para la
identificacin,
presentacin de
informes, y
procesos para
responder a
incidentes
sospechosos y
violaciones.
Los Si
manejo de No
incidentes son No se sabe
peridicamente
probados,
verificados y
actualizados.
Existen polticas y Si
procedimientos Algo
documentados No
para trabajar con No se sabe
autoridades
policiales.

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo: Seleccin de Activos Crticos

Seleccin de Activos Crticos
Preguntas a considerar:
Qu activo tendra un efecto adverso en la organizacin si:
Es divulgado a personas no autorizadas?
Es modificado sin autorizacin?
Se pierde o es destruido?
El acceso al activo es interrumpido?
Activo Crtico Notas

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo: Informacin de Activos Crticos
Activo Justificacin Descripcin del Requerimientos Requerimiento de

Crtico de la Seleccin Sistema de Seguridad seguridad ms
Cul es el Por qu es ese Quin usa el sistema? Cules son los importante
sistema crtico? sistema crtico para Quin es responsable requerimientos de Cul de los
la organizacin? de este sistema? seguridad para este requerimientos de
sistema? seguridad es el ms
importante para este
sistema?
Confidencialidad: Confidencialidad
Solo personal Integridad
autorizado puede Disponibilidad
ver informacin Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin
Disponibilidad:
debe estar
disponible para
que el personal
realice su trabajo.
Otro:
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red Perfil bsico de riesgo
Actores con acceso a la red Perfil bsico de riesgo

Amenaza Actores de amenazas
Para cul rama hay una posibilidad no desdeable de una amenaza Qu actores plantean las mayores amenazas
al activo? Marque estas ramas en el rbol. para el sistema a travs de la red?
Para cul de las ramas restantes hay una posibilidad despreciable o

Celular: (593-9) 1699699 Celular: (593)99 922000
Resultado
Motivo
Acceso
Activo
Actor
Revelacin Personas que pertenecen a la organizacin
que actan accidentalmente:
Adentro Prdida
Interrupcin
` Revelacin Personas que pertenecen a la organizacin

que actan deliberadamente:
Red Prdida
Porta
Interrupcin
l

actan accidentalmente:
Prdida
Afuera Interrupcin

actan deliberadamente:
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Motivo Historia
Qu tan fuerte es el motivo Qu tan confiado est Con qu frecuencia ha Qu tan exactos son estos
del actor? usted de este estimado? ocurrido esta amenaza en el datos?
pasado?
Medio
Nada
Nada
Muy
Bajo
Algo
Muy
Algo
Alto
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos

Celular: (593-9) 1699699 Celular: (593)99 922000
a la red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red
De ejemplos de cmo personas
que pertenecen a la
organizacin actuando
el sistema.

que pertenecen a la
el sistema.
Gente que no pertenece a la organizacin que tiene acceso a la red

que no pertenecen a la
el sistema.

que no pertenecen a la
el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema
Problemas del Sistema Perfil bsico de riesgo

Celular: (593-9) 1699699 Celular: (593)99 922000
Amenaza Historia
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin veces en aos
Defectos de software Modificacin veces en aos
Prdida veces en aos
Interrupcin veces en aos
` Revelacin veces en aos

El sistema se cae Modificacin veces en aos
Prdida veces en aos

Defectos de hardware Modificacin veces en aos
Prdida veces en aos

Cdigo malicioso Modificacin veces en aos
Prdida veces en aos

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del
Sistema reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier
defecto de software podra ser
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
sistema.
Defectos de Hardware
defecto de hardware podra ser
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo
malicioso de software podra ser
sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas

Celular: (593-9) 1699699 Celular: (593)99 922000

Amenaza Historia
Resultad
Activo
Actor
Nada
Muy
Algo
o
Problemas con el Modificacin veces en aos
suministro de energa Prdida veces en aos

Problemas de Modificacin veces en aos
telecomunicaciones Prdida veces en aos
Porta

l

Problemas con Modificacin veces en aos
sistemas de terceros Prdida veces en aos

Desastres naturales Modificacin veces en aos
Prdida veces en aos

Celular: (593-9) 1699699 Celular: (593)99 922000
reas de Preocupacin
Problemas con el suministro de energa
problema con el suministro de
energa podra ser considerado
Problemas de telecomunicaciones
problema de
telecomunicaciones podra ser
sistema.
Problemas con sistemas de terceros

problema con sistemas de
terceros podra ser considerado
Desastres naturales
De ejemplos de algn desastre No se han registrado amenazas al sistema por desastres
natural podra ser considerado naturales.

Celular: (593-9) 1699699 Celular: (593)99 922000

Amenaza Historia
Resultad
Activo
Actor
Nada
Muy
Algo
o
Personas clave Modificacin veces en aos
permiso temporal Prdida veces en aos

Personas clave Modificacin veces en aos
que renuncian Prdida veces en aos

Celular: (593-9) 1699699 Celular: (593)99 922000
reas de Preocupacin
Personas clave que toman un permiso temporal
De ejemplos de cmo si una
persona clave en la organizacin
toma un permiso temporal
podra ser considerado una
amenazar el sistema.
Personas clave que salen de la organizacin permanentemente

De ejemplos de cmo si una
persona clave en la organizacin
se retira de la empresa
permanentemente podra ser
sistema.
Hoja de Trabajo: Rutas de acceso

Sistema de inters
Puntos de Acceso
Cul de las siguientes clases de componentes son parte del Cul de las siguientes clases de componentes se utilizan
sistema de inters? para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores Red Interna

Celular: (593-9) 1699699 Celular: (593)99 922000
Redes Internas Red externa

Estaciones de trabajo Otros
Otros

Celular: (593-9) 1699699 Celular: (593)99 922000
Puntos de Acceso
De cul de las siguientes En qu clase de componente esta la Cul otro sistema accede a
clases de componentes puede la gente informacin del sistema de inters informacin del sistema de inters?
(por ejemplo, los usuarios, los almacenada por motivos de respaldo?
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo Dispositivos de
almacenamiento de respaldos
Laptops locales
PDAs/Componentes Wireless Otros
Estaciones de Trabajo fuera

de la oficina
Otros
Hoja de Trabajo: Evaluacin de la infraestructura

Clase Activo Crtico Responsabilidad
Cul clase de componente est Cul activo critico est Quin es responsable de mantener y
relacionado con uno o ms de los activos relacionado con cada clase? asegurar cada clase de cada
crticos? componente?
Aplicaciones
Cliente
Portal
Servidores

Celular: (593-9) 1699699 Celular: (593)99 922000
Red interna
Estaciones de trabajo
Laptops
PDAs/Componentes Wireless
Dispositivos de
Almacenamiento
Red Externa
Estaciones de trabajo fuera de

la oficina

Celular: (593-9) 1699699 Celular: (593)99 922000
a la red. Impacto
Actores con acceso a la red Impacto
Amenaza Impacto
Para cul de las ramas restantes hay una posibilidad despreciable o A: Alto
nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Motivo
Multas
Acceso
Activo
Actor
Otro
Revelacin
Adentro Prdida
Interrupcin
` Revelacin
Red Prdida
Interrupcin
Revelacin
Prdida
Afuera Interrupcin
Revelacin
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Sistema. Impacto
Problemas del Sistema Impacto
Amenaza Impacto
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Defectos de software Modificacin
Prdida
Interrupcin
` Revelacin
El sistema se cae Modificacin
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Revelacin
Defectos de hardware Modificacin
Prdida
Interrupcin
Revelacin
Cdigo malicioso Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Amenaza Impacto
B: Bajo

Celular: (593-9) 1699699 Celular: (593)99 922000
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Problemas con el Modificacin
suministro de energa Prdida
Interrupcin
` Revelacin
Problemas de Modificacin
telecomunicaciones Prdida
Interrupcin
Revelacin
Problemas con Modificacin
sistemas de terceros Prdida
Interrupcin
Revelacin
Desastres naturales Modificacin
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Impacto
Amenaza Impacto
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Personas clave Modificacin
permiso temp. Prdida
Interrupcin
` Revelacin
que renuncian Prdida
Interrupcin
Hoja de Trabajo: Criterios basados en la frecuencia

1. Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto Medio
Tiempo
Cuatro veces < 4 veces al
entre Diario Semanal Mensual
al ao ao
eventos
Frecuencia
analizada

Celular: (593-9) 1699699 Celular: (593)99 922000
2. Dibuje lneas que separen alto de medio y medio de bajo
Medio Bajo
Una vez al < 1 vez al Una vez cada Una vez cada Una vez cada Una vez cada
ao ao 5 aos 10 aos 20 aos 50 aos
a la red. Probabilidad
Actores con acceso a la red Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en
al activo? Marque estas ramas en el rbol. el futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable o Qu tan confiado est de esta estimacin?
Confianza
Resultado
Motivo
Acceso
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Adentro Prdida
Interrupcin
` Revelacin
Red Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Revelacin
Prdida
Afuera Interrupcin
Revelacin
Prdida
Interrupcin
Sistema. Probabilidad
Problemas del Sistema Probabilidad

Celular: (593-9) 1699699 Celular: (593)99 922000
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Defectos de software Modificacin
Prdida
Interrupcin
` Revelacin
El sistema se cae Modificacin
Prdida
Interrupcin
Revelacin
Defectos de hardware Modificacin
Prdida
Interrupcin
Revelacin
Cdigo malicioso Modificacin
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Probabilidad
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Problemas con el Modificacin
suministro de energa Prdida
Interrupcin
` Revelacin
Problemas de Modificacin
telecomunicaciones Prdida
Interrupcin
Revelacin
Problemas con Modificacin
sistemas de terceros Prdida
Interrupcin
Revelacin
Desastres naturales Modificacin
Prdida
Interrupcin

Celular: (593-9) 1699699 Celular: (593)99 922000
Probabilidad
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
permiso temp. Prdida
Interrupcin
` Revelacin
que renuncian Prdida
Interrupcin
Hoja de Trabajo: Conocimiento de seguridad y entrenamiento

Qu tan formal es la estrategia de capacitacin de su organizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin
documentada que incluye una evaluacin del conocimiento
Actual Cambiar
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin
Actual Cambiar
informal e indocumentada.
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?

Celular: (593-9) 1699699 Celular: (593)99 922000
Evaluar el conocimiento de Seguridad

Se proveen entrenamientos peridicos sobre seguridad que
Actual Cambiar
a todos los empleados 1 vez cada ao.
Se provee entrenamiento sobre seguridad a personas nuevas
en la organizacin como parte de sus actividades de Actual Cambiar
orientacin.
La organizacin no provee un entrenamiento sobre
seguridad. Cada miembro del personal aprende sobre Actual Cambiar
problemas de seguridad por s mismo.
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
Entrenamiento relacionado con Seguridad
Los miembros del rea de TI deben asistir a entrenamientos
relacionados con seguridad para cualquier tecnologa que Actual Cambiar
utilicen.
Los miembros del rea de TI pueden asistir a
entrenamientos relacionados con seguridad para cualquier Actual Cambiar
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que
miembros del rea de TI asistan a entrenamientos
Actual Cambiar
relacionados con seguridad para cualquier tecnologa que
utilicen.
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
Actualizaciones peridicas de Seguridad
La organizacin tiene mecanismos formales para proveer
miembros del personal con actualizaciones peridicas / Actual Cambiar
La organizacin no tiene un mecanismo para proveer a
miembros del personal con actualizaciones peridicas / Actual Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
Verificacin del Entrenamiento
La organizacin tiene mecanismos formales para rastrear y Actual Cambiar

Celular: (593-9) 1699699 Celular: (593)99 922000
verificar que los miembros del personal reciban

La organizacin tiene mecanismos informales para rastrear
y verificar que los miembros del personal reciban Actual Cambiar
La organizacin no tiene mecanismos para rastrear y
verificar que los miembros del personal reciban Actual Cambiar
Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad

colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
se trabaja con colaboradores y socios. La organizacin tiene
Actual Cambiar
polticas y procedimientos no documentados para proteger
otros tipos de informacin cuando se trabaja con
colaboradores y socios.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se Actual Cambiar
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?

Celular: (593-9) 1699699 Celular: (593)99 922000
Contratistas y Subcontratistas
se trabaja con contratistas y subcontratistas. La organizacin
Actual Cambiar
contratistas y subcontratistas.
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
se trabaja con proveedores de servicios. La organizacin
Actual Cambiar
proveedores de servicios.
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras Actual Cambiar
partes.
La organizacin comunica informalmente los requisitos de Actual Cambiar

Celular: (593-9) 1699699 Celular: (593)99 922000
proteccin de informacin a terceras partes.

La organizacin no comunica sus requisitos de proteccin
Actual Cambiar
de informacin a terceras partes.
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
Actual Cambiar
requerimientos.
La organizacin tiene mecanismos informales para verificar
Actual Cambiar
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
Actual Cambiar
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
Conocimiento del Personal
procedimientos. Este entrenamiento se da a todos los
empleados 1 vez cada ao.
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.

Celular: (593-9) 1699699 Celular: (593)99 922000

seguridad de la organizacin no incluye informacin sobre
el manejo colaborativo de seguridad, polticas y
procedimientos. Este entrenamiento se da a todos los Actual Cambiar
empleados 1 vez cada ao. Los miembros del personal
aprenden sobre manejo colaborativo de la seguridad por si
mismos.
Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica

Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Actual Cambiar
Combinado
Combinado
Externo
Externo
Interno
Interno
Tarea:
Mantener registros de mantenimiento para documentar

reparaciones y modificaciones al hardware.
Monitorear acceso fsico controlado por hardware.
Monitorear acceso fsico controlado por software.
Monitorear acceso fsico a reas de trabajo
restringidas.
Revisar los registros de monitoreo peridicamente.
Investigar y monitorear cualquier actividad inusual no
identificada.
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos

Celular: (593-9) 1699699 Celular: (593)99 922000
La organizacin ha documentado formalmente planes y

procedimientos para monitorear acceso fsico al edificio, Actual Cambiar
La organizacin ha documentado formalmente algunos
planes y procedimientos para monitorear acceso fsico al
edificio, reas de trabajo, hardware y software. Algunas Actual Cambiar
polticas y procedimientos son informales y no son
documentados.
La organizacin tiene planes y procedimientos para
monitorear acceso fsico al edificio, reas de trabajo, Actual Cambiar
hardware y software que son informales y no documentados.
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
Entrenamiento
a entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
Miembros designados del personal pueden asistir a
entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
reas de trabajo, hardware y software si ellos lo piden.
La organizacin generalmente no provee oportunidades para
Actual Cambiar
entrenamientos para monitorear acceso fsico al edificio,

Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo: Estrategia de proteccin para autenticacin y autorizacin

Quin es actualmente responsable de la autenticacin y autorizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Responsabilidad
Actual Cambiar
Combinado
Combinado
Externo
Externo
Interno
Interno
Tarea:
Implementar control de acceso (permisos de archivos,

configuracin de la red) para restringir a usuarios
acceso a informacin, sistemas susceptibles,
red.
Implementar autenticacin de usuarios (permisos de
archivos, configuracin de la red) para restringir a
red.
Establecer y terminar acceso a sistemas e informacin
para ambos individuos y grupos.
capacitacin?
Procedimientos
y autenticacin de procedimientos para restringir a usuarios
Actual Cambiar
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
y autenticacin de algunos procedimientos para restringir a
Actual Cambiar
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
La organizacin tiene procedimientos informales y no
documentados para la autorizacin y autenticacin de Actual Cambiar
procedimientos para restringir a usuarios acceso a

Celular: (593-9) 1699699 Celular: (593)99 922000

capacitacin?
Entrenamiento
a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas Actual Cambiar
susceptibles, aplicaciones y servicios especficos y
conexiones de red.
Miembros designados del personal pueden asistir a
entrenamientos para restringir a usuarios acceso a
Actual Cambiar
especficos y conexiones de red si ellos lo piden.
La organizacin generalmente no provee oportunidades para
entrenamientos para restringir a usuarios acceso a Actual Cambiar
Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones

Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
Polticas Documentadas
Actual Cambiar
relacionadas con seguridad formalmente documentadas.
Actual Cambiar
relacionadas con seguridad informalmente documentadas.

Celular: (593-9) 1699699 Celular: (593)99 922000
Las polticas relacionadas con seguridad de la organizacin

Actual Cambiar
son informales y no estn documentadas.
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
Manejo de Polticas
La organizacin tiene un mecanismo formal para crear y
Actual Cambiar
actualizar su poltica relacionada con seguridad.
La organizacin tiene un mecanismo formal para crear su
poltica relacionada con seguridad. La organizacin tiene un
Actual Cambiar
mecanismo informal y no documentado para actualizar su
poltica relacionada con seguridad.
La organizacin tiene un mecanismo informal y no
documentado para crear y actualizar su poltica relacionada Actual Cambiar
con seguridad.
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
Aplicacin de Polticas
aplicados son aplicados y seguidos constantemente.
aplicados nunca se siguen.
La organizacin tiene un mecanismo informal y no
documentado para aplicar su poltica relacionada con Actual Cambiar
seguridad.
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
Polticas y Cumplimiento del Reglamento

Celular: (593-9) 1699699 Celular: (593)99 922000

con polticas de seguridad de la informacin, leyes Actual Cambiar
aplicables, regulaciones y requisitos del seguro.
con ciertas polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro. Algunos Actual Cambiar
procedimientos en esta rea son informales y no estn
documentados.
La organizacin tiene procedimientos informales y no
documentados para cumplir con polticas de seguridad de la
Actual Cambiar
informacin, leyes aplicables, regulaciones y requisitos del
seguro.
Hoja de Trabajo: Plan de Mitigacin

rea de Mitigacin: Conocimiento de seguridad y entrenamiento
de seguridad?


Celular: (593-9) 1699699 Celular: (593)99 922000

rea de Mitigacin: Manejo colaborativo de la seguridad
de seguridad?


rea de Mitigacin: Monitorear y auditar seguridad fsica
de seguridad?


Celular: (593-9) 1699699 Celular: (593)99 922000
Hoja de Trabajo: Autenticacin y autorizacin

rea de Mitigacin: Autenticacin y autorizacin
de seguridad?

Hoja de Trabajo: Polticas de seguridad y regulaciones

rea de Mitigacin: Polticas de seguridad y regulaciones
de seguridad?

Celular: (593-9) 1699699 Celular: (593)99 922000

Hoja de Trabajo: Identificar siguientes pasos

Considere:
Contribuir fondos para las actividades de seguridad de la informacin.
Asignar personal para las actividades de seguridad de la informacin.
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Permitir al personal recibir entrenamiento sobre seguridad de la informacin.
Hacer que la seguridad de la informacin sea una prioridad estratgica.
Gestin para la Monitorear la Ampliar la actual Siguiente evaluacin

mejora de la implementacin evaluacin de de riesgos en la
Seguridad riesgos en la seguridad de la
seguridad de la informacin
informacin
Qu debe hacer la Qu debe hacer la Expendera la actual Cundo conducir la
Gerencia para apoyar la informacin para rastrear el evaluacin OCTAVE-S para organizacin su siguiente
implementacin de los progreso y asegurar que los incluir activos crticos evaluacin OCTAVE-S?
resultados de Octave-S? resultados de esta adicionales? Cules?
evaluacin se implementen?

Celular: (593-9) 1699699 Celular: (593)99 922000

Celular: (593-9) 1699699 Celular: (593)99 922000
ANEXO C: INFORME DE RETROALIMENTACIN DE PIRMIDE

DIGITAL

Celular: (593-9) 1699699 Celular: (593)99 922000
AUTOR:
Ing. Olga M Pez

.:. Gerente de Tecnologa
olga_paez@piramidedigital.com
Cel. + (593) 989 445 049
skype: olga.paez.o

Celular: (593-9) 1699699 Celular: (593)99 922000

(PD) Publicaciones - Octave S PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(PD) Publicaciones - Octave S PDF

Cargado por

Copyright:

Formatos disponibles

www.piramidedigital.

APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA PIRMIDE DIGITAL

En el Captulo Tres se aplica la norma OCTAVE-S antes de iniciar la evaluacin, se

Una vez que se seleccion al equipo de trabajo, se inici la evaluacin utilizando la

El anlisis de riesgos, se define como:

Oficinas Corporativas Centro de Capacitacin Gerencial

El enfoque Octave define al anlisis de riesgos como:

Oficinas Corporativas Centro de Capacitacin Gerencial

Oficinas Corporativas Centro de Capacitacin Gerencial

1.2 Anlisis de Seguridades

Oficinas Corporativas Centro de Capacitacin Gerencial

Oficinas Corporativas Centro de Capacitacin Gerencial

Confidencialidad: el principio de la confidencialidad de la informacin tiene como propsito

Oficinas Corporativas Centro de Capacitacin Gerencial

Figura 2: Ciclo de seguridad de la informacin

Oficinas Corporativas Centro de Capacitacin Gerencial

1.3 Justificacin del uso de la Norma

Octave S ISO 17799 COBIT

Oficinas Corporativas Centro de Capacitacin Gerencial

tcnicas y mtodos de dirigida a los responsables de

Oficinas Corporativas Centro de Capacitacin Gerencial

seguridad que Informacin, puede procesos que provean los

Oficinas Corporativas Centro de Capacitacin Gerencial

traslad a la organizacin sistemas de TI y decidir qu

Oficinas Corporativas Centro de Capacitacin Gerencial

amenazas cuya Informacin. o Planear y Organizar

Oficinas Corporativas Centro de Capacitacin Gerencial

o Crear perfiles de implantacin y Implantar de acuerdo a

Despus de implementado: Despus de implementado: Despus de implementado:

Oficinas Corporativas Centro de Capacitacin Gerencial

Realizado por: Olga Pez

Oficinas Corporativas Centro de Capacitacin Gerencial

2.1.1 Marco de Trabajo Cobit 4.1

2.1.1.1 Misin de Cobit

2.1.1.2 reas de enfoque del Gobierno de TI

2.1.1.3 Marco general de trabajo Cobit 4.1

Figura 3: Marco de trabajo general de Cobit 4.1

Oficinas Corporativas Centro de Capacitacin Gerencial

Oficinas Corporativas Centro de Capacitacin Gerencial

2.1.2 Interrelaciones de los componentes Cobit 4.1

Figura 4: Interrelaciones de los componentes Cobit 4.1

Oficinas Corporativas Centro de Capacitacin Gerencial

Mejor alineacin, con base en su enfoque de negocios

Oficinas Corporativas Centro de Capacitacin Gerencial

2.1.3 Criterios de informacin de Cobit 4.1

Oficinas Corporativas Centro de Capacitacin Gerencial

2.1.4 Metas de negocio y de TI

2.2 Caracterizacin de la Empresa

Oficinas Corporativas Centro de Capacitacin Gerencial

2.2.4 Descripcin histrica

Oficinas Corporativas Centro de Capacitacin Gerencial

2.2.5 Actividades principales

Cursos gerenciales presenciales: estn focalizados en atender y solucionar aspectos puntuales o

Oficinas Corporativas Centro de Capacitacin Gerencial

Modelo de Simulacin de Negocios Telecomunicaciones

CRM Customer Relationship Management:

Telecomunicaciones, Tecnologa y Utilities:

Oficinas Corporativas Centro de Capacitacin Gerencial

Gerencia de Marketing para Empresas de Telecomunicaciones

Oficinas Corporativas Centro de Capacitacin Gerencial

o Indicadores de satisfaccin del personal

o Consultora en Desarrollo Organizacional, de acuerdo a sus necesidades y presupuestos

Consultoras de gestin: en las que proveen los servicios de: